技術領域

本發明涉及網絡安全技術領域，尤其涉及一種基于統計的反病毒引擎特征碼評價方法及系統。

背景技術

隨著計算機技術及Internet的發展，人們對計算機的應用越加廣泛，由此，計算機病毒對人們的危害也越來越大。反病毒技術也在此潮流中逐漸發展壯大，反病毒引擎就是反病毒技術的一個主要體現。病毒庫是已經發現的病毒的標本集合，傳統反病毒引擎的主要功能之一，就是用病毒庫中的標本去對照機器中的所有程序或文件，看是不是符合這些標本，若符合則是病毒，否則不一定是病毒。

傳統反病毒引擎主要是使用基于特征碼的靜態掃描技術，即在文件中驗證是否存在相匹配特征，如果匹配，就可判定文件感染了某種病毒。但一款成熟的反病毒引擎，僅使用某一種特征碼（最簡單的就是全文件HASH）是非常困難的，因為這很難滿足通用反病毒引擎既要具備高覆蓋率又要保證高檢測速度的需求。因此，眾多反病毒引擎廠商往往都會對各自病毒庫中的標本提取多類的特征碼，以在不同的應用場景選擇使用。這就會面臨如下問題：

如何對不同特征碼的應用場景進行評價：

不同特征碼由于其提取位置和提取算法的不同，會具有不同的特點及適用場景，比如有的特征碼誤判率極低，但單個特征碼僅能檢出很少的病毒標本，有的單個特征碼可以檢出很多病毒標本，但誤報率同樣卻很高。如何對不同特征碼進行系統化評價，讓反病毒引擎開發人員根據所發布引擎的特點進行選擇，就成為本專利著重解決的一個問題。

如何建立完整的特征碼評價體系：

隨著病毒庫中標本數量逐漸增加，反病毒廠商為了維持每次發布引擎的檢索高效率，都會只選擇部分標本作為引擎的基礎標本集，上文描述的特征碼評價方法得出的結論在不同的基礎標本集中不會是一樣的，這就需要建立一個體系，完善基礎標本集生成到完成評價的整個過程。

發明內容

針對上述技術問題，本發明提供了一種基于統計的反病毒引擎特征碼評價方法及系統，該方法通過量化統計的方法，得出有關特征碼的各類指標值，最后由開發人員根據應用場景等選擇所需的特征碼。

本發明采用如下方法來實現：一種基于統計的反病毒引擎特征碼評價方法，包括：

從病毒庫中選取所需病毒標本組成基礎標本集；

針對所述基礎標本集提取特征碼，所述特征碼為一類或多類；

針對每類特征碼，設定n個檢測點，每個檢測點取值c_i，與c_i相對應的權值為w_i，所述n和c_i的取值視基礎樣本集和特征碼情況而定，所述w_i的取值用來調整各檢測點的取值比重；

利用如下公式計算指標值index：

index=Σi=1nwiNNumberOfSignature(SomeCondition>ci)NNumberOfAllSignatureΣi=1nwi,]]>其中i∈[1,n]；

所述c_i為檢出的病毒標本數量，所述N_{NumberOfAllSignature}為基礎標本集中該類特征碼的特征總數量，所述為由該類特征碼檢出的符合預設條件的病毒標本數量大于c_i時的特征數量；