一种灰样本鉴定方法与系统的制作方法
【技术领域】
[0001]—种灰样本鉴定方法与系统属于计算机技术领域,具体涉及一种灰样本属性判断技术。
【背景技术】
[0002]计算机病毒检测是计算机领域必不可少的工作。目前,将病毒样本定义为黑样本,将非病毒样本定义为白样本,而将不确定是否为病毒的样本定义为灰样本。病毒检测的工作重点给灰样本定性。
[0003]灰样本可以由人工来鉴别、分析,并且准确率能够得到保证。然而,随着大数据时代的来临,单靠人工分析灰样本属性已不现实,因此急需一种灰样本属性自动鉴定的方法。
[0004]由于数据之间存在千丝万缕的联系,因此,可以通过数据挖掘、机器学习等方式,寻找灰样本与黑样本及白样本之间的本质关系,以便对会样本进行定性。这种思想为鉴定灰样本性质提供了一个新思路。然而遗憾的是,还没有采用通过探索灰样本与黑样本及白样本之间的本质关系来对灰样本定性的方法出现。
【发明内容】
[0005]为了解决上述问题,本发明公开了一种灰样本鉴定方法与系统,本发明通过建立黑白灰三个样本之间的联系,实现灰样本属性的自动化判断。
[0006]本发明的目的是这样实现的:
一种灰样本鉴定方法,包括以下步骤:
501、运行按家族选取的特征黑样本、随机选取的白样本、和全部灰样本,获取样本的特征功能,将每个样本中的每个特征功能运行时间除以该样本一次运行的总时间,得到该特征功能运行时间百分比;
502、按照特征功能反应样本为黑样本的概率从高到低的顺序,对特征功能进行排序;
503、按照步骤S02的排序,以步骤S01得到的特征功能运行时间百分比为坐标值,将每相邻两个特征功能建立二维坐标系,将步骤S01所述的黑样本、白样本和灰样本绘制在所述的二维坐标系中;
504、判断灰样本坐标到黑样本坐标以及白样本坐标的距离,如果:距离黑样本坐标近,认为灰样本在该坐标系下更接近黑样本,设定值为1 ;
距离白样本坐标近,认为灰样本在该坐标系下更接近白样本,设定值为0 ;
距离黑样本坐标和白样本坐标一样近,认为灰样本在该坐标系下仍为灰样本,设定值为 0.5 ;
505、按照步骤S03中坐标系的先后顺序得到由高到低排列的权重,将所有坐标系下的值与权重相乘后累计求和;
506、判断灰样本的属性,当步骤S05得到的结果大于等于阈值后,认为该灰样本为黑样本,小于阈值后,认为该灰样本为白样本。
[0007]上述灰样本鉴定方法,步骤S01所述的特征功能包括修改关键文件、修改注册表、下载文件、文件自删除。
[0008]上述灰样本鉴定方法,所述的步骤S04、步骤S05和步骤S06替换为:
507、利用灰样本坐标到黑样本坐标的距离除以到白样本坐标的距离,得到该坐标系下的值;
508、按照步骤S03中坐标系的先后顺序得到由高到低排列的权重,将所有坐标系下的值与权重相乘后累计求和;
509、判断灰样本的属性,当步骤S08得到的结果大于等于阈值后,认为该灰样本为黑样本,小于阈值后,认为该灰样本为白样本。
[0009]一种灰样本鉴定系统,包括:
特征功能运行时间计算模块:运行按家族选取的特征黑样本、随机选取的白样本、和全部灰样本,获取样本的特征功能,将每个样本中的每个特征功能运行时间除以该样本一次运行的总时间,得到该特征功能运行时间的百分比;
特征功能排序模块:按照特征功能反应样本为黑样本的概率从高到低的顺序,对特征功能进彳丁排序;
特征功能坐标系建立模块:按照特征功能排序模块得到的排序,以特征功能运行时间计算模块得到的特征功能运行时间百分比为坐标值,将每相邻两个特征功能建立二维坐标系,将特征功能运行时间计算模块中所述的黑样本、白样本和灰样本绘制在所述的二维坐标系中;
坐标系赋值模块:
判断灰样本坐标到黑样本坐标以及白样本坐标的距离,如果:距离黑样本坐标近,认为灰样本在该坐标系下更接近黑样本,设定值为1 ;
距离白样本坐标近,认为灰样本在该坐标系下更接近白样本,设定值为ο ;
距离黑样本坐标和白样本坐标一样近,认为灰样本在该坐标系下仍为灰样本,设定值为 0.5 ;
或.?^入.利用灰样本坐标到黑样本坐标的距离除以到白样本坐标的距离,得到该坐标系下的值;
灰样本求值模块:按照特征功能坐标系建立模块中坐标系的先后顺序得到由高到低排列的权重,将所有坐标系下的值与权重相乘后累计求和;
灰样本属性判断模块:判断灰样本的属性,当灰样本求值模块得到的结果大于等于阈值后,认为该灰样本为黑样本,小于阈值后,认为该灰样本为白样本。
[0010]有益效果:
为了解决上述问题,本发明公开了一种灰样本鉴定方法与系统,本发明通过建立黑白灰三个样本之间的联系,实现灰样本属性的自动化判断,同时该方法无需人为干预,具有快速判断的优势。
【附图说明】
[0011]图1是本发明具体实施例一的灰样本鉴定方法流程图。
[0012]图2是本发明具体实施例二的灰样本鉴定方法流程图。
[0013]图3是本发明灰样本鉴定系统示意图。
[0014]图中:特征功能运行时间计算模块1、特征功能排序模块2、特征功能坐标系建立模块3、坐标系赋值模块4、灰样本求值模块5、灰样本属性判断模块6。
【具体实施方式】
[0015]下面结合附图对本发明【具体实施方式】作进一步详细描述。
[0016]具体实施例一
本实施例为灰样本鉴定方法实施例,流程图如图1所示。该方法包括以下步骤:
501、运行按家族选取的特征黑样本、随机选取的白样本、和全部灰样本,获取样本的特征功能,将每个样本中的每个特征功能运行时间除以该样本一次运行的总时间,得到该特征功能运行时间百分比;所述的特征功能包括修改关键文件、修改注册表、下载文件、文件自删除;
502、按照特征功能反应样本为黑样本的概率从高到低的顺序,对特征功能进行排序;
503、按照步骤S02的排序,以步骤S01得到的特征功能运行时间百分比为坐标值,将每相邻两个特征功能建立二维坐标系,将步骤S01所述的黑样本、白样本和灰样本绘制在所述的二维坐标系中;
504、判断灰样本坐标到黑样本坐标以及白样本坐标的距离,如果:距离黑样本坐标近,认为灰样本在该坐标系下更接近黑样本,设定值为1 ;
距离白样本坐标近,认为灰样本在该坐标系下更接近白样本,设定值为0 ;
距离黑样本坐标和白样本坐标一样近,认为灰样本在该坐标系下仍为灰样本,设定值为 0.5 ;
505、按照步骤S03中坐标系的先后顺序得到由高到低排列的权重,将所有坐标系下的值与权重相乘后累计求和;
506、判断灰样本的属性,当步骤S05得到的结果大于等于阈值后,认为该灰样本为黑样本,小于阈值后,认为该灰样本为白样本。
[0017]具体实施例二
本实施例同样为灰样本鉴定方法实施例,流程