技術領域

本發明涉及互聯網應用領域，特別是涉及一種病毒程序樣本的獲取方法和設備。

背景技術

隨著社會的信息化發展，終端（包括電腦、手機等多種設備）在人們生活中越來越重要。人們越來越多地依賴終端保存個人信息，例如各種賬號信息、私人聊天記錄甚至一些圖片照片等信息。因此，若終端系統遭到惡意文件（如惡意網址或者電腦病毒等）的威脅，容易造成個人信息的泄露，對用戶造成難以估計的損失。因此，對惡意文件進行分類并處理，避免終端系統遭受惡意文件的威脅，保證終端系統的安全性十分重要。

現有技術中，在文件分類時僅能根據一個特征對文件進行分類，效率低下，并且浪費大量的時間。因此，使用現有技術對病毒文件進行分類時，需要花費大量的時間以及人力對病毒文件進行分類。并且，每次分類僅能針對一個特征，效率低下。另外，使用現有技術對大量病毒文件進行分類時，由于每次分類僅能針對一個特征，而文件的數量巨大，導致分類不準確。對病毒文件不準確分類使得根據病毒文件對終端系統進行的惡意文件檢測及處理等不準確，導致無法保證終端系統的安全性，對用戶的信息安全造成威脅。

發明內容

鑒于上述問題，提出了本發明以便提供一種克服上述問題或者至少部分地解決上述問題的一種病毒程序樣本的獲取方法和相應的設備。

依據本發明的一個方面，提供了一種病毒程序樣本的獲取方法，包括：根據文件類型確定至少一個特征提取條件，并在所述特征提取條件中任取N個特征提取條件，其中N是正整數；分別利用所述N個特征提取條件對各文件進行特征提取，根據提取結果確定每個特征提取條件提取的特征的向量值；對于每個文件，根據所述N個特征提取條件的特征的向量值生成對應的分類向量；任取一個所述分類向量作為分類基點，計算除作為分類基點的分類向量之外的其他所述分類向量與所述分類基點之間的分類距離；根據計算出的各分類距離對所述文件進行分類。

可選地，所述病毒程序樣本的獲取方法還包括：本次分類后，確定是否還存在未使用的特征提取條件；若是，在所述未使用的特征提取條件中再次選擇M個特征提取條件，利用所述M個特征提取條件執行對所述文件的分類操作；重復對所述文件的分類操作，直至所述特征提取條件均被使用。

可選地，根據所述分類距離對所述文件進行分類，包括：按照距離長度對分類距離進行分組；根據不同組別將所述文件分成不同類別。

可選地，所述按照距離長度對分類距離進行分組，包括：判斷各個所述分類距離是否不大于分類預定閾值；若是，將所述分類距離分為一組；若否，則將所述分類距離分為另外一組；根據不同組別將所述文件分成不同類別，包括：將同一組的分類距離所對應的文件分為同類文件。

可選地，所述分類預定閾值為所述分類距離的平均值。

可選地，所述文件包括病毒文件。

依據本發明的另一個方面，還提供了一種病毒程序樣本的獲取設備，包括：獲取器，配置為根據文件類型確定至少一個特征提取條件，并在所述特征提取條件中任取N個特征提取條件，其中，N是正整數；向量生成器，配置為分別利用所述N個特征提取條件對各文件進行特征提取，根據提取結果確定每個特征提取條件提取的特征的向量值；以及對于每個文件，根據所述N個特征提取條件的特征的向量值生成對應的分類向量；距離計算器，配置為任取一個所述分類向量作為分類基點，計算除作為分類基點的分類向量之外的其他所述分類向量與所述分類基點之間的分類距離；分類器，配置為根據計算出的各分類距離對所述文件進行分類。

可選地，所述病毒程序樣本的獲取設備還包括：所述向量生成器還配置為，本次分類后，確定是否還存在未使用的特征提取條件；若是，在所述未使用的特征提取條件中再次選擇M個特征提取條件，觸發所述距離計算器以及所述分類器利用所述M個特征提取條件執行對所述文件的分類操作；重復對所述文件的分類操作，直至所述特征提取條件均被使用。

可選地，所述分類器還配置為：按照距離長度對分類距離進行分組；根據不同組別將所述文件分成不同類別。

可選地，所述病毒程序樣本的獲取設備還包括：判斷器，配置為判斷所述分類距離是否不大于分類預定閾值。

可選地，所述分類器還配置為：若根據所述判斷器，所述分類距離不大于分類預定閾值，將所述分類距離分為一組；若根據所述判斷器，所述分類距離小于分類預定閾值，將所述分類距離分為另外一組；根據不同組別將所述文件分成不同類別，包括：將同一組的分類距離所對應的文件分為同類文件。

可選地，所述分類預定閾值為所述分類距離的平均值。