3.一種惡意通信模式提取系統(tǒng)，其具備：惡意通信模式提取裝置，其提取惡意通信模式，該惡意通信模式用于檢測(cè)惡意軟件所產(chǎn)生的通信量；第一網(wǎng)絡(luò)，其產(chǎn)生第一通信量日志，該第一通信量日志是由所述惡意軟件所產(chǎn)生的通信量獲得的；及第二網(wǎng)絡(luò)，其產(chǎn)生第二通信量日志，該第二通信量日志是由規(guī)定的通信環(huán)境中的通信量獲得的，

所述惡意通信模式提取系統(tǒng)的特征在于，所述惡意通信模式提取裝置具備：

統(tǒng)計(jì)值計(jì)算部，其由所述第一通信量日志和所述第二通信量日志計(jì)算對(duì)于字段及值的組的每個(gè)通信模式的出現(xiàn)頻度的統(tǒng)計(jì)值；

提取部，其根據(jù)所述統(tǒng)計(jì)值計(jì)算部計(jì)算出的統(tǒng)計(jì)值，針對(duì)每個(gè)所述通信模式，比較所述第一通信量日志的出現(xiàn)頻度和所述第二通信量日志的出現(xiàn)頻度，在兩者的出現(xiàn)頻度之差為預(yù)先對(duì)統(tǒng)計(jì)值設(shè)定的第一閾值以上的情況下，將該通信模式作為所述惡意通信模式而進(jìn)行提取；及

閾值設(shè)定部，其在適用了所述提取部提取出的所述惡意通信模式的情況下，為了檢測(cè)是否為所述惡意軟件所產(chǎn)生的通信量，作為與至少一種該惡意通信模式一致的次數(shù)或與該惡意通信模式一致時(shí)的該惡意通信模式的種類數(shù)的第二閾值，以使得誤檢測(cè)率為一定值以下且檢測(cè)率為一定值以上的方式設(shè)定所述第二閾值，其中，該誤檢測(cè)率是錯(cuò)誤地檢測(cè)所述惡意軟件產(chǎn)生的通信量的概率，該檢測(cè)率是檢測(cè)所述惡意軟件所產(chǎn)生的通信量的概率。