专利名称::一种恶意程序判断方法及装置的制作方法
技术领域:
:本发明涉及计算机安全
技术领域:
,具体来说是关于一种恶意程序判断方法及装置。
背景技术:
:长期以来,计算机恶意程序(如计算机病毒、逻辑炸弹、特洛伊木马等)对计算机的破坏一直是计算机使用中面临的重大问题,现有技术使用特征码匹配技术检测识别计算机恶意程序,但特征码匹配技术并不能检测识别未知的恶意程序(如病毒变种和新病毒等)。为了克服这一问题,现有技术釆用广谱分析、启发式分析等方式来检测识别未知的恶意程序。发明人在实现本发明的过程中发现,现有技术采用广谱分析、启发式分析等方式来检测识别未知的恶意程序效率很低,且有着较高的误报率。
发明内容为克服现有技术对未知的恶意程序识别效率低和误报率高的问题,本发明实施例提供一种恶意程序判断方法及装置,可以大幅度提高识别未知的恶意程序的效率及降低恶意程序误报率。本发明实施例提供一种恶意程序判断方法,所述的方法包括分析目标程序,获取目标程序的特征;根据获取到的目标程序的特征生成与目标程序相对应的特征集合;将所述目标程序特征集合与预置的样本程序特征集合的威胁值相匹配,根据匹配结果判断所述目标程序是否为恶意程序。本发明实施例还提供一种恶意程序判断装置,所述的装置包括目标程序分析单元,用于分析目标程序,获取目标程序的特征;目标集合生成单元,用于根据获取到的目标程序的特征生成与目标程序相对应的特征集合;恶意程序判断单元,用于将所述目标程序特征集合与预置的样本程序特征集合的威胁值相匹配,根据匹配结果判断所述目标程序是否为恶意程序。本发明实施例提供的恶意程序判断方法及装置,根据获取到的目标程序的特征生成与目标程序相对应的特征集合;将所述目标程序特征集合与预置的样本程序特征集合的威胁值相匹配,根据匹配结果判断所述目标程序是否为恶意程序,可以大幅度提高识别未知的恶意程序的效率及降低恶意程序误报率。此处所说明的附图用来提供对本发明实施例的进一步理解,构成本申请的一部分,并不构成对本发明实施例的限定。在附图中图1是本发明实施例提供的一种恶意程序判断方法的流程图;图2是本发明实施例提供的一种恶意程序判断方法的流程图3是本发明实施例提供的根据威胁值判断所述目标程序是否为恶意程序的方法流程图4是本发明实施例提供的一种恶意程序判断装置的框图;图5是本发明实施例提供的一种恶意程序判断装置的框图6是本发明实施例提供的恶意程序判断单元506的框图。具体实施例方式为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施方式和附图,对本发明实施例做进一步详细说明。在此,本发明实施例的示意性实施方式及其说明用于解释本发明实施例,但并不作为对本发明实施例的限定。实施例一图1是本发明实施例提供的一种恶意程序判断方法的流程图,如图1所示,所述的方法包括S101,分析目标程序,获取目标程序的特征。在本发明实施例中,目标程序即为需要判定的未知目标程序,其可能是恶意程序或非恶意程序。在步骤S101中,分析目标程序,获取目标程序所具有的特征,目标程序所具有的特征包括代码特征和行为特征,其中,代码特征可以包括样本程序的文件结构、入口点、可执行文件的API调用序列等静态信息,行为特征可以包括样本程序在执行过程中的动作信息,如修改注册表、修改系统文件、自启动,修改系统安全设置等。S102,根据获取到的目标程序的特征生成与目标程序相对应的特征集合。在本发明实施例中,目标集合生成单元根据从目标程序获取到的特征生成与之相对应的目标程序特征集合,目标程序特征集合中包括至少一个代码特征和/或行为特征。S103,将所述目标程序特征集合与预置的样本程序特征集合的威胁值相匹配,根据匹配结果判断所述目标程序是否为恶意程序。在本发明实施例中,判断所述目标程序是否为恶意程序包括査找与目标程序特征集合中所包含的特征相同的样本程序特征集合,如果找到与目标程序特征集合中所包含的特征相同的样本程序特征集合,则进一步判断找到的样本程序特征集合的威胁值是否大于一预设门限值,如果样本程序特征集合的威胁值大于预设门限值,则判断样本程序为恶意程序;如果没有找到与目标程序特征集合中所包含的特征相同的样本程序特征集合,则查找与目标程序特征集合中所包含的特征相近似的样本程序特征集合,判断找到的样本程序特征集合中威胁值大于预设门限值的数量是否超过半数;如果所述找到的样本程序特征集合中威胁值大于预设门限值的数量超过半数,则判断所述目标程序为恶意程序;如果所述找到的样本程序特征集合中威胁值大于预设门限值的数量没有超过半数,则判断所述目标程序为正常非恶意程序。图2是本发明实施例提供的一种恶意程序判断方法的流程图,如图2所示,所述的方法包括S201,分析样本程序,获取每个样本程序的特征。在本发明实施例中,样本程序是用户提供的已知程序,其中包括恶意程序和非恶意程序。在步骤S201中,分析用户提供的所有已知样本程序,获取每个样本程序所具有的特征,样本程序所具有的特征包括代码特征和行为特征,其中,代码特征可以包括样本程序的文件结构、入口点、可执行文件的API调用序列等静态信息,行为特征可以包括样本程序在执行过程中的动作信息,如修改注册表、修改系统文件、自启动,修改系统安全设置等。S202,根据获取到的特征生成与每个样本程序相对应的特征集合。在本发明实施例中,样本特征集合生成单元根据从每个样本程序获取到的特征生成与之相对应的特征集合,也就是说,每个样本程序均生成一个对应的特征集合,特征集合中包括至少一个代码特征和/或行为特征,在本实施例中,所有特征集合中包括的特征数量均相同,以下以每个特征集合包括三个特征为例进行说明。样本程序特征一特征二特征三是否是恶意程序Pl自启动不修改注册表关闭防火墙恶意程序P2不自启动修改注册表关闭防火墙恶意程序P3不自启动不修改注册表不关闭防火墙非恶意程序P4不自启动修改注册表不关闭防火墙非恶意程序P5不自启动修改注册表不关闭防火墙恶意程序P6不自启动修改注册表不关闭防火墙恶意程序P7自启动修改注册表关闭防火墙恶意程序P8自启动修改注册表关闭防火墙恶意程序表1表1是本发明实施例提供的八个样本程序所生成的特征集合列表,其中,样本程序P1、P2、P5、P6、P7和P8已知为恶意程序,P3和P4已知为正常非恶意程序。在步骤S201中针对每个样本程序是否自启动、是否修改注册表、是否关闭防火墙这三个特征进行分析,获取每个样本程序的特征,样本特征集合生成单元相对应的生成八个特征集合,每个样本程序所生产的特征集合如表1所示,其中,样本程序P4、P5和P6具有相同的特征集合,样本程序P7和P8具有相同的特征集合。S203,根据所述样本程序是否为恶意程序生成所述样本程序特征集合的威胁值。在本发明实施例中,获取包括特征相同的特征集合所对应的样本程序,如表1所示,样本程序P4、P5和P6具有相同的特征(不自启动,修改注册表,不关闭防火墙),样本程序P7和P8具有相同的特征(自启动,修改注册表,关闭防火墙)。获取到包括特征相同的特征集合所对应的样本程序后,根据获取到的样本程序中恶意程序所占的比重确定所述特征集合的威胁值,在本实施例中,包括特征相同的特征集合所对应的样本程序的总数为A个,这A个样本程序中有B个是恶意程序,则该特征集合的威胁值V等于B/AX100%。如表1所示,特征集合(不自启动,修改注册表,不关闭防火墙)对应的样本程序为P4、P5和P6共3个,其中样本程序P4为正常程序,样本程序P5和P6为恶意程序,则特征集合(不自启动,修改注册表,不关闭防火墙)的威胁值¥产2/3*100°/。=66.7%。特征集合(自启动,修改注册表,关闭防火墙)对应的样本程序为P7和P8,且P7和P8均为恶意程序,则特征集合(自启动,修改注册表,关闭防火墙)的威胁值V2=2/2*100%=100°/。。对于特征集合(自启动,不修改注册表,关闭防火墙)来说,由于其对应的样本程序只有1个,即样本程序P1,且P1为恶意程序,因此特征集合(自启动,不修改注册表,关闭防火墙)的威胁值V^100。/。,同样特征集合P2(不自启动,修改注册表,关闭防火墙)的威胁值V4-100n/。。对于特征集合(不自启动,不修改注册表,不关闭防火墙)来说,其对应的样本程序只有P3,且P3为正常程序,因此特征集合(不自启动,不修改注册表,不关闭防火墙)的威胁值V产0。/。。其中,上述获得所述样本程序特征集合,可以预先获得,在分析目标程序时,直接在预先获得的样本程序特征集合中获取匹配的特征集合用于判断目标程序是否为恶意程序;S204,分析目标程序,获取目标程序的特征。在本发明实施例中,目标程序即为需要判定的未知目标程序,其可能是恶意程序或非恶意程序。在步骤S204中,分析目标程序,获取目标程序所具有的特征,目标程序所具有的特征包括代码特征和行为特征,其中,代码特征可以包括样本程序的文件结构、入口点、可执行文件的API调用序列等静态信息,行为特征可以包括样本程序在执行过程中的动作信息,如修改注册表、修改系统文件、自启动,修改系统安全设置等。S205,根据获取到的目标程序的特征生成与目标程序相对应的特征集合。在本发明实施例中,目标集合生成单元根据从目标程序获取到的特征生成与之相对应的目标程序特征集合,目标程序特征集合中包括至少一个代码特征和/或行为特征,在本实施例中,以目标程序特征集合包括是否自启动、是否修改注册表、是否关闭防火墙这三个特征为例进行说明。<table>tableseeoriginaldocumentpage10</column></row><table>表2表2是本发明实施例提供的目标程序所包含的特征列表,如表2所示,根据目标程序P9生成的特征集合为(自启动、修改注册表、关闭防火墙),根据目标程序P10生成的特征集合为(不自启动、修改注册表、不关闭防火墙),根据目标程序Pll生成的特征集合为(不自启动、不修改注册表、关闭防火墙)。S206,将所述目标程序特征集合与预置的样本程序特征集合的威胁值相匹配,根据匹配结果判断所述目标程序是否为恶意程序。图3是本发明实施例提供的根据威胁值判断所述目标程序是否为恶意程序的方法流程图,如图3所示,所述的方法包括S301,查找与目标程序特征集合中所包含的特征相同的样本程序特征集合;如果找到与目标程序特征集合中所包含的特征相同的样本程序特征集合,进入步骤S302,如果没有找到,则进入步骤S303。在本实施例中,查找与目标程序P9的特征集合(自启动、修改注册表、关闭防火墙)相同的样本程序特征集合,与目标程序P10的特征集合(不自启动、修改注册表、不关闭防火墙)相同的样本程序特征集合,以及与目标程序Pll的特征集合(不自启动、不修改注册表、关闭防火墙)相同的样本程序特征集合。S302,判断找到的样本程序特征集合的威胁值是否大于一预设门限值,如果是,则判断所述目标程序为恶意程序;在本实施例中,如果所述找到的样本程序特征集合的威胁值大于一预设门限值,则判断所述目标程序为恶意程序;如果所述找到的样本程序特征集合的威胁值小于等于一预设门限值,则判断所述目标程序为正常非恶意程序。在本实施例中,预设门限值Vw定为58%,在本发明的其他实施例中,V预的数值也可根据实际情况灵活调整。在本实施例中,与目标程序P9的特征集合(自启动、修改注册表、关闭防火墙)所包含的特征相同的特征集合为样本程序为P7和P8的特征集合,样本程序为P7和P8的特征集合的威胁值V2=100°/。>58%,因此判断目标程序P9为恶意程序;与目标程序P10的特征集合(不自启动、修改注册表、不关闭防火墙)所包含的特征相同的特征集合为样本程序为P4、P5和P6的特征集合,样本程序为P4、P5和P6的特征集合的威胁值V产66.7Q/^58。/。,因此判断目标程序P10为恶意程序。在本实施例中,如果目标程序的特征集合所包含的特征相同的特征集合为样本程序P3,而样本程序P3的特征集合的威胁值V5=0%<58%,因此判断该目标程序为正常非恶意程序。S303,查找与目标程序特征集合中所包含的特征相近似的样本程序特征隹厶.朱口;在本实施例中,没有与目标程序pii的特征集合(不自启动、不修改注册表、关闭防火墙)相同的样本程序特征集合,因此查找与pii的特征集合所包含的特征相近似的样本程序特征集合,在这里,样本程序P1、P2和P3的特征集合与目标程序Pll的特征集合均只有一个特征不同,因此与Pll的特征集合所包含的特征相近似的为样本程序Pl、P2和P3的特征集合。S304,判断找到的样本程序特征集合中威胁值大于预设门限值的数量是否超过半数;如果所述找到的样本程序特征集合中威胁值大于预设门限值的数量超过半数,则判断所述目标程序为恶意程序;如果所述找到的样本程序特征集合中威胁值大于预设门限值的数量没有超过半数,则判断所述目标程序为正常非恶意程序。在本实施例中,以目标程序Pll为例进行说明,查找到与目标程序Pll特征集合中所包含的特征相近似的样本程序,其中P1、P2和P3这三个样本程序的特征集合均与目标程序Pll的特征集合只相差一个特征,其中,Pl和P2的威胁值为100%,P3的威胁值为0%,Pl和P2的威胁值均超过58%,威胁值大于预设门限值的数量超过半数,因此判断目标程序Pll为恶意程序。在本发明的其他实施例中,如果找到的样本程序特征集合中威胁值大于预设门限值的数量没有超过半数,则判断该目标程序为正常非恶意程序。在本发明的其他实施例中,如果找到的样本程序特征集合中威胁值大于预设门限值的数量恰好等于半数,则判断该目标程序为可疑程序。本发明实施例提供的恶意程序判断方法及装置,克服了现有技术对未知的恶意程序识别效率低和误报率高的问题,可以准确高效的识别未知的恶意程序。实施例二图4是本发明实施例提供的一种恶意程序判断装置的框图,如图4所示,所述的装置包括目标程序分析单元401、目标集合生成单元402和恶意程序判断单元403,其中目标程序分析单元401,用于分析目标程序,获取目标程序的特征;在本发明实施例中,目标程序即为需要判定的未知目标程序,其可能是恶意程序或非恶意程序。目标程序分析单元401分析目标程序,获取目标程序所具有的特征,在本发明实施例中,目标程序分析单元401包括代码特征获取模块用于获取目标程序的代码特征;行为特征获取模块用于获取目标程序的行为特征。所述的代码特征是样本程序的静态信息,包括文件结构信息、入口点信息、可执行文件的API调用序列信息;所述的行为特征是程序在执行过程中的动作信息,包括修改注册表信息、修改系统文件信息、自启动信息,修改系统安全设置信息。目标集合生成单元402,用于根据获取到的目标程序的特征生成与目标程序相对应的特征集合;在本发明实施例中,目标程序集合生成单元402根据从目标程序获取到的特征生成与之相对应的目标程序特征集合,目标程序特征集合中包括至少一个代码特征和/或行为特征。恶意程序判断单元403,用于根据与目标程序特征集合相匹配的样本程序特征集合的威胁值,判断所述目标程序是否为恶意程序。图5是本发明实施例提供的一种恶意程序判断装置的框图,如图5所示,所述的装置包括样本程序分析单元501、样本集合生成单元502、威胁值生成单元503、目标程序分析单元504、目标集合生成单元505和恶意程序判断单元506,其中样本程序分析单元501,用于分析样本程序,获取每个样本程序的特征;在本发明实施例中,样本程序是用户提供的已知程序,其中包括恶意程序和非恶意程序,样本程序分析单元501分析用户提供的所有已知样本程序,获取每个样本程序所具有的特征,样本程序所具有的特征包括代码特征和行为特征。在本发明实施例中,样本程序分析单元501包括代码特征获取模块用于获取样本程序的代码特征;行为特征获取模块用于获取样本程序的行为特征。所述的代码特征是样本程序的静态信息,包括文件结构信息、入口点信息、可执行文件的API调用序列信息;所述的行为特征是程序在执行过程中的动作信息,包括修改注册表信息、修改系统文件信息、自启动信息,修改系统安全设置信息。样本集合生成单元502,用于根据获取到的特征生成与每个样本程序相对应的特征集合;在本发明实施例中,样本集合生成单元502根据从每个样本程序获取到的特征生成与之相对应的特征集合,也就是说,每个样本程序均生成一个对应的特征集合,特征集合中包括至少一个代码特征和/或行为特征,在本实施例中,所有特征集合中包括的特征数量均相同,以下以每个特征集合包括三个特征为例进行说明。表1是本发明实施例提供的八个样本程序所生成的特征集合列表,其中,样本程序P1、P2、P5、P6、P7和P8已知为恶意程序,P3和P4己知为正常非恶意程序。在步骤S201中针对每个样本程序是否自启动、是否修改注册表、是否关闭防火墙这三个特征进行分析,获取每个样本程序的特征,样本特征集合生成单元相对应的生成八个特征集合,每个样本程序所生产的特征集合如表1所示,其中,样本程序P4、P5和P6具有相同的特征集合,样本程序P7和P8具有相同的特征集合。威胁值生成单元503,用于根据所述样本程序是否为恶意程序生成所述特征集合的威胁值;在本发明实施例中,威胁值生成单元503包括样本程序获取模块和威胁值计算模块,其中样本程序获取模块用于获取包括特征相同的特征集合所对应的样本程序,如表1所示,样本程序P4、P5和P6具有相同的特征(不自启动,修改注册表,不关闭防火墙),样本程序P7和P8具有相同的特征(自启动,修改注册表,关闭防火墙);威胁值计算模块用于根据获取到的样本程序中恶意程序所占的比重计算所述特征集合的威胁值,在本实施例中,包括特征相同的特征集合所对应的样本程序的总数为A个,这A个样本程序中有B个是恶意程序,则该特征集合的威胁值V等于B/AX100。/。。如表1所示,特征集合(不自启动,修改注册表,不关闭防火墙)对应的样本程序为P4、P5和P6共3个,其中样本程序P4为正常程序,样本程序P5和P6为恶意程序,则特征集合(不自启动,修改注册表,不关闭防火墙)的威胁值V产2/3气00G/c^66.7y。。特征集合(自启动,修改注册表,关闭防火墙)对应的样本程序为P7和P8,且P7和P8均为恶意程序,则特征集合(自启动,修改注册表,关闭防火墙)的威胁值V2=2/2*100°/。=100%。对于特征集合(自启动,不修改注册表,关闭防火墙)来说,由于其对应的样本程序只有1个,即样本程序P1,且P1为恶意程序,因此特征集合(自启动,不修改注册表,关闭防火墙)的威胁值V3=100%,同样特征集合P2(不自启动,修改注册表,关闭防火墙)的威胁值V4-100n/。。对于特征集合(不自启动,不修改注册表,不关闭防火墙)来说,其对应的样本程序只有P3,且P3为正常程序,因此特征集合(不自启动,不修改注册表,不关闭防火墙)的威胁值V产On/c。目标程序分析单元504,用于分析目标程序,获取目标程序的特征;在本发明实施例中,目标程序即为需要判定的未知目标程序,其可能是恶意程序或非恶意程序。目标程序分析单元504分析目标程序,获取目标程序所具有的特征,在本发明实施例中,目标程序分析单元504包括代码特征获取模块用于获取目标程序的代码特征;行为特征获取模块用于获取目标程序的行为特征。所述的代码特征是样本程序的静态信息,包括文件结构信息、入口点信息、可执行文件的API调用序列信息;所述的行为特征是程序在执行过程中的动作信息,包括修改注册表信息、修改系统文件信息、自启动信息,修改系统安全设置信息。目标集合生成单元505,用于根据获取到的目标程序的特征生成与目标程序相对应的特征集合;在本发明实施例中,目标程序集合生成单元505根据从目标程序获取到的特征生成与之相对应的目标程序特征集合,目标程序特征集合中包括至少一个代码特征和/或行为特征,在本实施例中,以目标程序特征集合包括是否自启动、是否修改注册表、是否关闭防火墙这三个特征为例进行说明。表2是本发明实施例提供的目标程序所包含的特征列表,如表2所示,根据目标程序P9生成的特征集合为(自启动、修改注册表、关闭防火墙),根据目标程序P10生成的特征集合为(不自启动、修改注册表、不关闭防火墙),根据目标程序P11生成的特征集合为(不自启动、不修改注册表、关闭防火墙)。恶意程序判断单元506,用于根据与目标程序特征集合相匹配的样本程序特征集合的威胁值,判断所述目标程序是否为恶意程序。图6是本发明实施例提供的恶意程序判断单元506的框图,如图6所示,在本发明实施例中,恶意程序判断单元506包括相同集合查找模块601、相同集合判断模块602、近似集合查找模块603和近似集合判断模块604。相同集合查找模块601,用于查找与目标程序特征集合中所包含的特征相同的样本程序特征集合;在本实施例中,相同集合查找模块601査找与目标程序P9的特征集合(自启动、修改注册表、关闭防火墙)相同的样本程序特征集合,与目标程序P10的特征集合(不自启动、修改注册表、不关闭防火墙)相同的样本程序特征集合,以及与目标程序Pll的特征集合(不自启动、不修改注册表、关闭防火墙)相同的样本程序特征集合。相同集合判断模块602,用于在找到与目标程序特征集合中所包含的特征相同的样本程序特征集合时,判断找到的样本程序特征集合的威胁值是否大于一预设门限值,如果所述找到的样本程序特征集合的威胁值大于一预设门限值,则判断所述目标程序为恶意程序,如果所述找到的样本程序特征集合的威胁值小于等于一预设门限值,则判断所述目标程序为正常非恶意程序。在本实施例中,预设门限值V^定为58%,在本发明的其他实施例中,VH的数值也可根据实际情况灵活调整。在本实施例中,与目标程序P9的特征集合(自启动、修改注册表、关闭防火墙)所包含的特征相同的特征集合为样本程序为P7和P8的特征集合,样本程序为P7和P8的特征集合的威胁值¥2=100%>58%,因此判断目标程序P9为恶意程序;与目标程序P10的特征集合(不自启动、修改注册表、不关闭防火墙)所包含的特征相同的特征集合为样本程序为P4、P5和P6的特征集合,样本程序为P4、P5和P6的特征集合的威胁值V产66.7。/。〉58。/。,因此判断目标程序P10为恶意程序。在本实施例中,如果目标程序的特征集合所包含的特征相同的特征集合为样本程序P3,而样本程序P3的特征集合的威胁值^=0%<58%,因此判断该目标程序为正常非恶意程序。近似集合查找模块603,用于在没有与目标程序特征集合中所包含的特征相同的样本程序特征集合时,查找与目标程序特征集合中所包含的特征相近似的样本程序特征集合;在本实施例中,没有与目标程序Pll的特征集合(不自启动、不修改注册表、关闭防火墙)相同的样本程序特征集合,因此近似集合查找模块703查找与Pll的特征集合所包含的特征相近似的样本程序特征集合,在这里,样本程序Pl、P2和P3的特征集合与目标程序Pl1的特征集合均只有一个特征不同,因此与Pll的特征集合所包含的特征相近似的为样本程序Pl、P2和P3的特征集合。近似集合判断模块604,用于判断找到的样本程序特征集合中威胁值大于预设门限值的数量是否超过半数,如果所述找到的样本程序特征集合中威胁值大于预设门限值的数量超过半数,则判断所述目标程序为恶意程序;如果所述找到的样本程序特征集合中烕胁值大于预设门限值的数量没有超过半数,则判断所述目标程序为正常非恶意程序。在本实施例中,以目标程序Pll为例进行说明,近似集合查找模块603査找到与目标程序P11特征集合中所包含的特征相近似的样本程序,其中P1、P2和P3这三个样本程序的特征集合均与目标程序Pl1的特征集合只相差一个特征,其中,Pl和P2的威胁值为100%,P3的威胁值为0%,Pl和P2的威胁值均超过58%,威胁值大于预设门限值的数量超过半数,因此近似集合判断模块604判断目标程序P11为恶意程序。在本发明的其他实施例中,如果找到的样本程序特征集合中威胁值大于预设门限值的数量没有超过半数,则近似集合判断模块604判断该目标程序为正常非恶意程序。在本发明的其他实施例中,如果找到的样本程序特征集合中威胁值大于预设门限值的数量恰好等于半数,则近似集合判断模块604判断该目标程序为可疑程序。本发明实施例提供的恶意程序判断方法及装置,克服了现有技术对未知的恶意程序识别效率低和误报率高的问题,可以准确高效的识别未知的恶意程序。以上所述的具体实施方式,对本发明的实施例目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明实施例的具体实施方式而已,并不用于限定本发明实施例的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。权利要求1.一种恶意程序判断方法,其特征在于,所述的方法包括分析目标程序,获取目标程序的特征;根据获取到的目标程序的特征生成与目标程序相对应的特征集合;将所述目标程序特征集合与预置的样本程序特征集合的威胁值相匹配,根据匹配结果判断所述目标程序是否为恶意程序。2.根据权利要求1所述的恶意程序判断方法,其特征在于,所述预置的样本程序特征集合的威胁值预先通过以下步骤获得分析样本程序,获取每个样本程序的特征;根据获取到的特征生成与每个样本程序相对应的特征集合;根据所述样本程序是否为恶意程序生成所述样本程序的特征集合的威胁值。3.根据权利要求1或2所述的恶意程序判断方法,其特征在于,所述的特征集合包括至少一个代码特征和/或行为特征。4.根据权利要求2所述的恶意程序判断方法,其特征在于,所述根据样本程序是否为恶意生成所述特征集合的烕胁值包括获取包括特征相同的特征集合所对应的样本程序;根据获取到的样本程序中恶意程序所占的比重确定所述特征集合的威胁值。5.根据权利要求1所述的恶意程序判断方法,其特征在于,所述将所述目标程序特征集合与预置的样本程序特征集合的威胁值相匹配,根据匹配结果判断所述目标程序是否为恶意程序包括在预置的样本程序特征集合中,查找与目标程序特征集合中所包含的特征相同的样本程序特征集合;如果找到与目标程序特征集合中所包含的特征相同的样本程序特征集合,则判断找到的样本程序特征集合的威胁值是否大于预设门限值;如果所述找到的样本程序特征集合的威胁值大于所述预设门限值,则判断所述目标程序为恶意程序。6.根据权利要求5所述的恶意程序判断方法,其特征在于,所述方法还包括如果在预置的样本程序特征集合中,没有与目标程序特征集合中所包含的特征相同的样本程序特征集合,则査找与目标程序特征集合中所包含的特征相近似的样本程序特征集合;判断找到的特征相似的样本程序特征集合中威胁值大于预设门限值的集合数量是否超过半数;如果是,则判断所述目标程序为恶意程序。7.—种恶意程序判断装置,其特征在于,所述的装置包括目标程序分析单元,用于分析目标程序,获取目标程序的特征;目标集合生成单元,用于根据获取到的目标程序的特征生成与目标程序相对应的特征集合;恶意程序判断单元,用于将所述目标程序特征集合与预置的样本程序特征集合的威胁值相匹配,根据匹配结果判断所述目标程序是否为恶意程序。8.根据权利要求7所述的恶意程序判断装置,其特征在于,所述的装置还包括样本程序分析单元,用于分析样本程序,获取每个样本程序的特征;样本集合生成单元,用于根据获取到的特征生成与每个样本程序相对应的特征集合;威胁值生成单元,用于根据所述样本程序是否为恶意程序生成所述特征集合的威胁值。9.根据权利要求8所述的恶意程序判断装置,其特征在于,威胁值生成单元包括样本程序获取模块,用于获取包括特征相同的特征集合所对应的样本程序;威胁值计算模块,用于根据获取到的样本程序中恶意程序所占的比重计算所述特征集合的威胁值。10.根据权利要求7所述的恶意程序判断装置,其特征在于,所述恶意程序判断单元包括相同集合査找模块,用于在预置的样本程序特征集合中,查找与目标程序特征集合中所包含的特征相同的样本程序特征集合;相同集合判断模块,用于在找到与目标程序特征集合中所包含的特征相同的样本程序特征集合时,判断找到的样本程序特征集合的威胁值是否大于一预设门限值,如果所述找到的样本程序特征集合的威胁值大于一预设门限值,则判断所述目标程序为恶意程序。11.根据权利要求10所述的恶意程序判断装置,其特征在于,所述恶意程序判断单元还包括近似集合查找模块,用于在预置的样本程序特征集合中,没有与目标程序特征集合中所包含的特征相同的样本程序特征集合时,査找与目标程序特征集合中所包含的特征相近似的样本程序特征集合;近似集合判断模块,用于判断找到的样本程序特征集合中威胁值大于预设门限值的数量是否超过半数,如果是,则判断所述目标程序为恶意程序。全文摘要本发明实施例是关于一种恶意程序判断方法及装置,所述的方法包括分析目标程序,获取目标程序的特征;根据获取到的目标程序的特征生成与目标程序相对应的特征集合;将所述目标程序特征集合与预置的样本程序特征集合的威胁值相匹配,根据匹配结果判断所述目标程序是否为恶意程序。本发明实施例提供的恶意程序判断方法及装置,克服了现有技术对未知的恶意程序识别效率低和误报率高的问题,可以大幅度提高识别未知的恶意程序的效率及降低恶意程序误报率。文档编号G06F9/44GK101593253SQ20091015070公开日2009年12月2日申请日期2009年6月22日优先权日2009年6月22日发明者张小松,顾凌志申请人:成都市华为赛门铁克科技有限公司;电子科技大学