技術領域

一種灰樣本鑒定方法與系統屬于計算機技術領域，具體涉及一種灰樣本屬性判斷技術。

背景技術

計算機病毒檢測是計算機領域必不可少的工作。目前，將病毒樣本定義為黑樣本，將非病毒樣本定義為白樣本，而將不確定是否為病毒的樣本定義為灰樣本。病毒檢測的工作重點給灰樣本定性。

灰樣本可以由人工來鑒別、分析，并且準確率能夠得到保證。然而，隨著大數據時代的來臨，單靠人工分析灰樣本屬性已不現實，因此急需一種灰樣本屬性自動鑒定的方法。

由于數據之間存在千絲萬縷的聯系，因此，可以通過數據挖掘、機器學習等方式，尋找灰樣本與黑樣本及白樣本之間的本質關系，以便對會樣本進行定性。這種思想為鑒定灰樣本性質提供了一個新思路。然而遺憾的是，還沒有采用通過探索灰樣本與黑樣本及白樣本之間的本質關系來對灰樣本定性的方法出現。

發明內容

為了解決上述問題，本發明公開了一種灰樣本鑒定方法與系統，本發明通過建立黑白灰三個樣本之間的聯系，實現灰樣本屬性的自動化判斷。

本發明的目的是這樣實現的：

一種灰樣本鑒定方法，包括以下步驟：

S01、運行按家族選取的特征黑樣本、隨機選取的白樣本、和全部灰樣本，獲取樣本的特征功能，將每個樣本中的每個特征功能運行時間除以該樣本一次運行的總時間，得到該特征功能運行時間百分比；

S02、按照特征功能反應樣本為黑樣本的概率從高到低的順序，對特征功能進行排序；

S03、按照步驟S02的排序，以步驟S01得到的特征功能運行時間百分比為坐標值，將每相鄰兩個特征功能建立二維坐標系，將步驟S01所述的黑樣本、白樣本和灰樣本繪制在所述的二維坐標系中；

S04、判斷灰樣本坐標到黑樣本坐標以及白樣本坐標的距離，如果：距離黑樣本坐標近，認為灰樣本在該坐標系下更接近黑樣本，設定值為1；

距離白樣本坐標近，認為灰樣本在該坐標系下更接近白樣本，設定值為0；

距離黑樣本坐標和白樣本坐標一樣近，認為灰樣本在該坐標系下仍為灰樣本，設定值為0.5；

S05、按照步驟S03中坐標系的先后順序得到由高到低排列的權重，將所有坐標系下的值與權重相乘后累計求和；

S06、判斷灰樣本的屬性，當步驟S05得到的結果大于等于閾值后，認為該灰樣本為黑樣本，小于閾值后，認為該灰樣本為白樣本。

上述灰樣本鑒定方法，步驟S01所述的特征功能包括修改關鍵文件、修改注冊表、下載文件、文件自刪除。

上述灰樣本鑒定方法，所述的步驟S04、步驟S05和步驟S06替換為：

S07、利用灰樣本坐標到黑樣本坐標的距離除以到白樣本坐標的距離，得到該坐標系下的值；

S08、按照步驟S03中坐標系的先后順序得到由高到低排列的權重，將所有坐標系下的值與權重相乘后累計求和；

S09、判斷灰樣本的屬性，當步驟S08得到的結果大于等于閾值后，認為該灰樣本為黑樣本，小于閾值后，認為該灰樣本為白樣本。

一種灰樣本鑒定系統，包括：

特征功能運行時間計算模塊：運行按家族選取的特征黑樣本、隨機選取的白樣本、和全部灰樣本，獲取樣本的特征功能，將每個樣本中的每個特征功能運行時間除以該樣本一次運行的總時間，得到該特征功能運行時間的百分比；

特征功能排序模塊：按照特征功能反應樣本為黑樣本的概率從高到低的順序，對特征功能進行排序；

特征功能坐標系建立模塊：按照特征功能排序模塊得到的排序，以特征功能運行時間計算模塊得到的特征功能運行時間百分比為坐標值，將每相鄰兩個特征功能建立二維坐標系，將特征功能運行時間計算模塊中所述的黑樣本、白樣本和灰樣本繪制在所述的二維坐標系中；

坐標系賦值模塊：

判斷灰樣本坐標到黑樣本坐標以及白樣本坐標的距離，如果：距離黑樣本坐標近，認為灰樣本在該坐標系下更接近黑樣本，設定值為1；

距離白樣本坐標近，認為灰樣本在該坐標系下更接近白樣本，設定值為0；

距離黑樣本坐標和白樣本坐標一樣近，認為灰樣本在該坐標系下仍為灰樣本，設定值為0.5；

或：

利用灰樣本坐標到黑樣本坐標的距離除以到白樣本坐標的距離，得到該坐標系下的值；

灰樣本求值模塊：按照特征功能坐標系建立模塊中坐標系的先后順序得到由高到低排列的權重，將所有坐標系下的值與權重相乘后累計求和；