1.一種灰樣本鑒定方法，其特征在于，包括以下步驟：

S01、運行按家族選取的特征黑樣本、隨機選取的白樣本、和全部灰樣本，獲取樣本的特征功能，將每個樣本中的每個特征功能運行時間除以該樣本一次運行的總時間，得到該特征功能運行時間百分比；

S02、按照特征功能反應樣本為黑樣本的概率從高到低的順序，對特征功能進行排序；

S03、按照步驟S02的排序，以步驟S01得到的特征功能運行時間百分比為坐標值，將每相鄰兩個特征功能建立二維坐標系，將步驟S01所述的黑樣本、白樣本和灰樣本繪制在所述的二維坐標系中；

S04、判斷灰樣本坐標到黑樣本坐標以及白樣本坐標的距離，如果：距離黑樣本坐標近，認為灰樣本在該坐標系下更接近黑樣本，設定值為1；

距離白樣本坐標近，認為灰樣本在該坐標系下更接近白樣本，設定值為0；

距離黑樣本坐標和白樣本坐標一樣近，認為灰樣本在該坐標系下仍為灰樣本，設定值為0.5；

S05、按照步驟S03中坐標系的先后順序得到由高到低排列的權(quán)重，將所有坐標系下的值與權(quán)重相乘后累計求和；

S06、判斷灰樣本的屬性，當步驟S05得到的結(jié)果大于等于閾值后，認為該灰樣本為黑樣本，小于閾值后，認為該灰樣本為白樣本。

2.根據(jù)權(quán)利要求1所述的灰樣本鑒定方法，其特征在于，步驟S01所述的特征功能包括修改關鍵文件、修改注冊表、下載文件、文件自刪除。

3.根據(jù)權(quán)利要求1或2所述的灰樣本鑒定方法，其特征在于，所述的步驟S04、步驟S05和步驟S06替換為：

S07、利用灰樣本坐標到黑樣本坐標的距離除以到白樣本坐標的距離，得到該坐標系下的值；

S08、按照步驟S03中坐標系的先后順序得到由高到低排列的權(quán)重，將所有坐標系下的值與權(quán)重相乘后累計求和；

S09、判斷灰樣本的屬性，當步驟S08得到的結(jié)果大于等于閾值后，認為該灰樣本為黑樣本，小于閾值后，認為該灰樣本為白樣本。

4.一種灰樣本鑒定系統(tǒng)，其特征在于，包括：

特征功能運行時間計算模塊：運行按家族選取的特征黑樣本、隨機選取的白樣本、和全部灰樣本，獲取樣本的特征功能，將每個樣本中的每個特征功能運行時間除以該樣本一次運行的總時間，得到該特征功能運行時間的百分比；

特征功能排序模塊：按照特征功能反應樣本為黑樣本的概率從高到低的順序，對特征功能進行排序；

特征功能坐標系建立模塊：按照特征功能排序模塊得到的排序，以特征功能運行時間計算模塊得到的特征功能運行時間百分比為坐標值，將每相鄰兩個特征功能建立二維坐標系，將特征功能運行時間計算模塊中所述的黑樣本、白樣本和灰樣本繪制在所述的二維坐標系中；

坐標系賦值模塊：

判斷灰樣本坐標到黑樣本坐標以及白樣本坐標的距離，如果：距離黑樣本坐標近，認為灰樣本在該坐標系下更接近黑樣本，設定值為1；

距離白樣本坐標近，認為灰樣本在該坐標系下更接近白樣本，設定值為0；

距離黑樣本坐標和白樣本坐標一樣近，認為灰樣本在該坐標系下仍為灰樣本，設定值為0.5；

或：

利用灰樣本坐標到黑樣本坐標的距離除以到白樣本坐標的距離，得到該坐標系下的值；

灰樣本求值模塊：按照特征功能坐標系建立模塊中坐標系的先后順序得到由高到低排列的權(quán)重，將所有坐標系下的值與權(quán)重相乘后累計求和；

灰樣本屬性判斷模塊：判斷灰樣本的屬性，當灰樣本求值模塊得到的結(jié)果大于等于閾值后，認為該灰樣本為黑樣本，小于閾值后，認為該灰樣本為白樣本。