一種黑特征庫中失效特征的確定方法及系統的制作方法

一種黑特征庫中失效特征的確定方法及系統的制作方法
【專利摘要】本發明實施例提供的一種黑特征庫中失效特征的確定方法及系統，可以將黑特征庫中的特征與樣本文件進行對比，當黑特征庫中的特征命中了與該特征的源樣本文件符合異常變形規律的樣本文件時，則確定該特征出現誤命中行為，該特征屬于失效特征。本發明通過異常變形規律來確定失效特征，所使用的樣本文件可隨機選取，因此不再需要通過常用軟件庫來查找失效特征，提高了失效特征的查找效果，保護了設備的安全。
【專利說明】一種黑特征庫中失效特征的確定方法及系統
【技術領域】
[0001]本發明涉及失效特征篩查【技術領域】，特別是涉及一種黑特征庫中失效特征的確定方法及系統。
【背景技術】
[0002]隨著智能電子設備和網絡的發展，計算機病毒對用戶計算機安全的威脅也逐漸加劇。
[0003]為了保護用戶的計算機，現有的安全軟件商都通過黑特征庫來查找病毒。黑特征庫中的特征可以從特征源樣本中提取得到，但提取的特征中可能存在失效特征，失效特征會導致誤報率較高。為了將去除失效特征，現有技術通過建立常用軟件庫來查找黑特征庫中的特征，如果某個特征命中常用軟件庫中的軟件，則確定該特征為失效特征，從而可以將其從黑特征庫中刪除。
[0004]但是，由于不可能將所有常用軟件放入常用軟件庫中，因此現有技術的失效特征查找效果較差。

【發明內容】

[0005]本發明實施例的目的在于提供一種黑特征庫中失效特征的確定方法及系統，以實現提高失效特征查找效果的目的。
[0006]為達到上述目的，本發明實施例公開了一種黑特征庫中失效特征的確定方法，包括:
[0007]獲得黑特征庫中的第一特征；
[0008]判斷樣本文件是否具有所述第一特征，如果是，則判斷所述樣本文件與所述第一特征的特征源文件是否符合預定義的異常變形規律，如果是，則確定所述第一特征為失效特征。
[0009]優選的，還包括:
[0010]在確定所述第一特征為失效特征后，將所述第一特征從所述黑特征庫中刪除。
[0011]優選的，所述第一特征按照第一提取方式從所述第一特征的特征源文件中提取得至IJ，在將所述第一特征從所述黑特征庫中刪除后，所述方法還包括:
[0012]按照第二提取方式從所述第一特征的特征源文件中提取特征并放入所述黑特征庫中，所述第二提取方式與所述第一提取方式不同。
[0013]優選的，所述判斷所述樣本文件與所述第一特征的特征源文件是否符合預定義的異常變形規律，包括:
[0014]獲得所述樣本文件與所述第一特征的特征源文件的代碼相似度；
[0015]判斷所述代碼相似度是否低于預設第一閾值，如果是，則確定所述第一特征的特征源文件與所述樣本文件符合預定義的異常變形規律。
[0016]優選的，所述判斷所述樣本文件與所述第一特征的特征源文件是否符合預定義的異常變形規律，包括:
[0017]獲得所述樣本文件的PE節表與所述第一特征的特征源文件的PE節表的相似度；
[0018]判斷所述相似度是否低于預設第二閾值，如果是，則確定所述第一特征的特征源文件與所述樣本文件符合預定義的異常變形規律。
[0019]優選的，所述判斷所述樣本文件與所述第一特征的特征源文件是否符合預定義的異常變形規律，包括:
[0020]獲得所述樣本文件的PE節與所述第一特征的特征源文件的PE節的相似度；
[0021]判斷所述相似度是否低于預設第三閾值，如果是，則確定所述第一特征的特征源文件與所述樣本文件符合異常變形規律。
[0022]一種黑特征庫中失效特征的確定系統，包括:特征獲得單元、文件判斷單元、變形判斷單元和失效確定單元，
[0023]所述特征獲得單元，用于獲得黑特征庫中的第一特征；
[0024]所述文件判斷單元，用于判斷樣本文件是否具有所述第一特征，如果是，則觸發所述變形判斷單元；
[0025]所述變形判斷單元，用于判斷所述樣本文件與所述第一特征的特征源文件是否符合預定義的異常變形規律，如果是，則觸發所述失效確定單元；
[0026]所述失效確定單元，用于確定所述第一特征為失效特征。
[0027]優選的，還包括:特征刪除單元，用于在所述失效確定單元確定所述第一特征為失效特征后，將所述第一特征從所述黑特征庫中刪除。
[0028]優選的，所述第一特征按照第一提取方式從所述第一特征的特征源文件中提取得至IJ，所述系統還包括:特征提取單元，用于在所述特征刪除單元將所述第一特征從所述黑特征庫中刪除后，按照第二提取方式從所述第一特征的特征源文件中提取特征并放入所述黑特征庫中，所述第二提取方式與所述第一提取方式不同。
[0029]優選的，所述變形判斷單元，包括:代碼相似度獲得子單元和第一相似度判斷子單元，
[0030]所述代碼相似度獲得子單元，用于獲得所述樣本文件與所述第一特征的特征源文件的代碼相似度；
[0031]所述第一相似度判斷子單元，用于判斷所述代碼相似度是否低于預設第一閾值，如果是，則確定所述第一特征的特征源文件與所述樣本文件符合預定義的異常變形規律，觸發所述失效確定單元。
[0032]優選的，所述變形判斷單元，包括:節表相似度獲得子單元和第二相似度判斷子單元，
[0033]所述節表相似度獲得子單元，用于獲得所述樣本文件的PE節表與所述第一特征的特征源文件的PE節表的相似度；
[0034]所述第一相似度判斷子單元，用于判斷所述相似度是否低于預設第二閾值，如果是，則確定所述第一特征的特征源文件與所述樣本文件符合預定義的異常變形規律，觸發所述失效確定單元。
[0035]優選的，所述變形判斷單元，包括:PE節相似度獲得子單元和第三相似度判斷子單元，[0036]所述PE節相似度獲得子單元，用于獲得所述樣本文件的PE節與所述第一特征的特征源文件的PE節的相似度；
[0037]所述第三相似度判斷子單元，用于判斷所述相似度是否低于預設第三閾值，如果是，則確定所述第一特征的特征源文件與所述樣本文件符合異常變形規律，觸發所述失效確定單元。
[0038]本發明實施例提供的一種黑特征庫中失效特征的確定方法及系統，可以將黑特征庫中的特征與樣本文件進行對比，當黑特征庫中的特征命中了與該特征的源樣本文件符合異常變形規律的樣本文件時，則確定該特征出現誤命中行為，屬于失效特征。本發明通過異常變形規律來確定失效特征，所使用的樣本文件可隨機選取，因此不再需要通過常用軟件庫來查找失效特征，提高了失效特征的查找效果，保護了設備的安全。
【專利附圖】

【附圖說明】
[0039]為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。
[0040]圖1為本發明實施例提供的一種黑特征庫中失效特征的確定方法的流程圖；
[0041]圖2為本發明實施例提供的另一種黑特征庫中失效特征的確定方法的流程圖；
[0042]圖3為本發明實施例提供的一種黑特征庫中失效特征的確定系統的結構示意圖；
[0043]圖4為本發明實施例提供的另一種黑特征庫中失效特征的確定系統的結構示意圖。
【具體實施方式】
[0044]下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基于本發明中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例，都屬于本發明保護的范圍。
[0045]如圖1所示，本發明實施例提供的一種黑特征庫中失效特征的確定方法，可以包括:
[0046]S100、獲得黑特征庫中的第一特征；
[0047]具體的，黑特征庫中可以存在有多個特征，在實際應用中，可以每次僅獲得黑特征庫中的一個特征，然后與樣本文件對比，也可以同時獲得黑特征庫中的多個特征，然后將獲取的各個特征與樣本文件對比。
[0048]S200、判斷樣本文件是否具有所述第一特征，如果是，則執行步驟S300 ；
[0049]其中，樣本文件可以是隨機選取的文件，如:惡意文件、壞文件、正常文件。但由于正常文件一般不會具有黑特征庫中的特征，因此為了提高失效特征的確定效率，可以選取惡意文件作為樣本文件。其中，惡意文件可以包括:病毒和流氓軟件，病毒可以分為感染性病毒和蠕蟲型病毒等。
[0050]具體的，為了提高失效特征的確定效果，樣本文件可以為多個，可以判斷多個樣本文件是否具有第一特征。當某樣本文件不具有第一特征時，可以繼續判斷該樣本文件是否具有黑特征庫中的其他特征，也可以繼續從黑特征庫中提取其他特征與該樣本文件進行比對，確定是否具有所提取的特征，當然也可以不進行處理。
[0051 ] 可以將一個特征分別與所有樣本對比，也可以讓一個樣本和所有特征對比。
[0052]S300、判斷所述樣本文件與所述第一特征的特征源文件是否符合預定義的異常變形規律，如果是，則執行步驟S400 ；
[0053]如果樣本文件與所述第一特征的特征源文件不符合預定義的異常變形規律，可以繼續判斷該樣本文件是否具有黑特征庫中的其他特征，也可以繼續從黑特征庫中提取其他特征與該樣本文件進行比對，確定是否具有所提取的特征，當然也可以不進行處理。
[0054]可以理解的是，由于黑特征庫中的特征從特征源文件中提取得到，因此黑特征庫中的特征用于查找該特征源文件，如果黑特征庫中的特征命中了一個和該特征的特征源文件差異較大的文件，則說明該特征出現了誤命中，該特征已經失效。例如:某病毒具有某輕度危險等級的行為特征，但并不具有重度危險等級的行為特征，將該病毒作為特征源文件，提取到上述輕度危險等級行為特征并放入黑特征庫中。這樣，根據所提取的該輕度危險等級行為特征就可以檢測到該病毒并做出與其所具有的特征的危險等級相對應的處理。一段時間后，該病毒發生變異，不僅具有上述輕度危險等級行為特征，還具有了一個重度危險等級的行為特征。但是由于變異后該重度危險等級的行為特征并未及時加入到黑特征庫中，因此在通過黑特征庫對變異后的病毒進行檢測時，仍會通過上述輕度危險等級的行為特征命中變異后的病毒，并做出與輕度危險等級相對應的處理。但由于該病毒已經具有了重度危險等級的行為特征，因此與輕度危險等級相對應的處理無法保護設備的安全。
[0055]可以理解的是，通過對病毒等惡意文件的變異行為進行分析即可得出異常變形規律，例如感染型病毒和壞文件在變異時一般會對文件代碼部分有一定的修改，因此可以通過代碼相似度確定是否為異常變形。
[0056]具體的，可以為每個特征源樣本設置一個標識，從特征源樣本中提取的特征具有與該標識相對應的特征ID，這樣，通過黑特征庫中的特征的ID就可以確定相對應的特征源樣本，從而與樣本文件進行異常變形規律的判斷。
[0057]其中，判斷所述樣本文件與所述第一特征的特征源文件是否符合預定義的異常變形規律的方式有多種，下面提供幾種方式:
[0058]方式一、S300可以包括:
[0059]獲得所述樣本文件與所述第一特征的特征源文件的代碼相似度；
[0060]判斷所述代碼相似度是否低于預設第一閾值，如果是，則確定所述第一特征的特征源文件與所述樣本文件符合預定義的異常變形規律。
[0061]其中，在病毒等惡意文件發生變異時，一般會對文件代碼部分有一定的修改，因此可以通過模糊hash算法等方式得出特征源文件與樣本文件的代碼相似度，若相似度低于一定閾值，則確定為異常變形。
[0062]可以理解的是，代碼相似度需要計算樣本文件與特征源文件的所有代碼，因此計算量較大。在實際應用中，還可以僅比較文件中部分數據的相似度。
[0063]方式二、S300可以包括:
[0064]獲得所述樣本文件的PE節表與所述第一特征的特征源文件的PE節表的相似度；[0065]判斷所述相似度是否低于預設第二閾值，如果是，則確定所述第一特征的特征源文件與所述樣本文件符合預定義的異常變形規律。
[0066]其中，PE為可執行文件格式，病毒等惡意文件一般均為可執行文件格式，該PE文件中包括有多個PE節，PE節表負責對PE節進行聲明，記錄PE節的數量、各PE節的地址等信息。具有感染行為的惡意文件一般通過加節、插節縫隙等方式來進行變異，例如:改變PE節大小或者增加新PE節等，上述對PE節的修改會在PE節表上體現出來，因此可以通過PE節表的相似度確定是否為異常變形。
[0067]方式三、S300可以包括:
[0068]獲得所述樣本文件的PE節與所述第一特征的特征源文件的PE節的相似度；
[0069]判斷所述相似度是否低于預設第三閾值，如果是，則確定所述第一特征的特征源文件與所述樣本文件符合異常變形規律。
[0070]惡意文件發生異常變形時，還會對PE節中的數據進行修改，因此還可以通過對比PE節的相似度確定是否為異常變形。具體的，可以通過哈希算法來進行對比。
[0071]除上述三種方式外，還可以通過對比其他方式確定是否為異常變形，例如:對比PE頭的部分字段(如時間戳、檢驗和)、對比附加數據等。
[0072]可選的，可以同時根據上述幾種方式來確定第一特征的特征源文件與樣本文件符合異常變形規律，例如:同時根據方式二和方式三來進行確定，如果確定第一特征的特征源文件與樣本文件符合如下兩個條件中的任意一個，則確定二者符合異常變形規律:PE節表的相似度低于預設第二閾值、PE節的相似度低于預設第三閾值。
[0073]S400、確定所述第一特征為失效特征。
[0074]本發明實施例提供的一種黑特征庫中失效特征的確定方法，可以將黑特征庫中的特征與樣本文件進行對比，當黑特征庫中的特征命中了與該特征的源樣本文件符合異常變形規律的樣本文件時，則確定該特征出現誤命中行為，屬于失效特征。本發明通過異常變形規律來確定失效特征，所使用的樣本文件可隨機選取，因此不再需要通過常用軟件庫來查找失效特征，提高了失效特征的查找效果，保護了設備的安全。
[0075]如圖2所示，在圖1所示實施例基礎上，本發明實施例提供的另一種黑特征庫中失效特征的確定方法，還可以包括:
[0076]S500、在確定所述第一特征為失效特征后，將所述第一特征從所述黑特征庫中刪除。
[0077]進一步，所述第一特征按照第一提取方式從所述第一特征的特征源文件中提取得至|J，在S500后，圖2所示方法還可以包括:
[0078]按照第二提取方式從所述第一特征的特征源文件中提取特征并放入所述黑特征庫中，所述第二提取方式與所述第一提取方式不同。
[0079]其中，所述第一提取方式可以為泛型特征提取方式。可選的，所述第二提取方式可以為全文哈希值特征提取方式。
[0080]泛型特征提取方式提取的泛型特征更具有普遍性，因此對相似的惡意文件具有較好的檢出效果，但同時誤命中幾率也較高。全文哈希值特征提取方式提取的特征的誤命中幾率較低，但僅能命中所提取的特征的特征源文件。通過對出現誤命中的泛型特征進行刪除，并替換為使用全文哈希值特征提取方式提取的特征就可以將出現誤命中的失效特征替換為有效特征，從而降低黑特征庫中特征的誤報率。
[0081]相對于上述方法實施例，本發明還提供了一種黑特征庫中失效特征的確定系統。
[0082]如圖3所示，本發明實施例提供的一種黑特征庫中失效特征的確定系統，可以包括:特征獲得單元100、文件判斷單元200、變形判斷單元300和失效確定單元400，
[0083]特征獲得單元100，用于獲得黑特征庫中的第一特征；
[0084]具體的，黑特征庫中可以存在有多個特征，在實際應用中，可以每次僅獲得黑特征庫中的一個特征，然后與樣本文件對比，也可以同時獲得黑特征庫中的多個特征，然后將獲取的各個特征與樣本文件對比。
[0085]文件判斷單元200，用于判斷樣本文件是否具有所述第一特征，如果是，則觸發所述變形判斷單元300 ；
[0086]具體的，為了提高失效特征的確定效果，樣本文件可以為多個，可以判斷多個樣本文件是否具有第一特征。當某樣本文件不具有第一特征時，可以繼續判斷該樣本文件是否具有黑特征庫中的其他特征。
[0087]可以將一個特征分別與所有樣本對比，也可以讓一個樣本和所有特征對比。
[0088]變形判斷單元300，用于判斷所述樣本文件與所述第一特征的特征源文件是否符合預定義的異常變形規律，如果是，則觸發所述失效確定單元400 ；
[0089]可以理解的是，由于黑特征庫中的特征從特征源文件中提取得到，因此黑特征庫中的特征用于查找該特征源文件，如果黑特征庫中的特征命中了一個和該特征的特征源文件差異較大的文件，則說明該特征出現了誤命中，該特征已經失效。例如:某病毒具有某輕度危險等級的行為特征，但并不具有重度危險等級的行為特征，將該病毒作為特征源文件，提取到上述輕度危險等級行為特征并放入黑特征庫中。這樣，根據所提取的該輕度危險等級行為特征就可以檢測到該病毒并做出與其所具有的特征的危險等級相對應的處理。一段時間后，該病毒發生變異，不僅具有上述輕度危險等級行為特征，還具有了一個重度危險等級的行為特征。但是由于變異后該重度危險等級的行為特征并未及時加入到黑特征庫中，因此在通過黑特征庫對變異后的病毒進行檢測時，仍會通過上述輕度危險等級的行為特征命中變異后的病毒，并作出與輕度危險等級相對應的處理。但由于該病毒已經具有了重度危險等級的行為特征，因此與輕度危險等級相對應的處理無法保護設備的安全。
[0090]可以理解的是，通過對病毒等惡意文件的變異行為進行分析即可得出異常變形規律，例如感染型病毒和壞文件在變異時一般會對文件代碼部分有一定的修改，因此可以通過代碼相似度確定是否為異常變形。
[0091]具體的，可以為每個特征源樣本設置一個標識，從特征源樣本中提取的特征具有與該標識相對應的特征ID，這樣，通過黑特征庫中的特征的ID就可以確定相對應的特征源樣本，從而與樣本文件進行異常變形規律的判斷。
[0092]在實際應用中，變形判斷單元300有多種具體組成方式，下面提供其中幾種:
[0093]方式一、變形判斷單元300，可以包括:代碼相似度獲得子單元和第一相似度判斷子單元，
[0094]所述代碼相似度獲得子單元，用于獲得所述樣本文件與所述第一特征的特征源文件的代碼相似度；
[0095]所述第一相似度判斷子單元，用于判斷所述代碼相似度是否低于預設第一閾值，如果是，則確定所述第一特征的特征源文件與所述樣本文件符合預定義的異常變形規律，觸發所述失效確定單元400。
[0096]方式二、變形判斷單元300，可以包括:節表相似度獲得子單元和第二相似度判斷子單元，
[0097]所述節表相似度獲得子單元，用于獲得所述樣本文件的PE節表與所述第一特征的特征源文件的PE節表的相似度；
[0098]所述第一相似度判斷子單元，用于判斷所述相似度是否低于預設第二閾值，如果是，則確定所述第一特征的特征源文件與所述樣本文件符合預定義的異常變形規律，觸發所述失效確定單元400。
[0099]方式三、變形判斷單元300，可以包括:PE節相似度獲得子單元和第三相似度判斷子單元，
[0100]所述PE節相似度獲得子單元，用于獲得所述樣本文件的PE節與所述第一特征的特征源文件的PE節的相似度；
[0101]所述第三相似度判斷子單元，用于判斷所述相似度是否低于預設第三閾值，如果是，則確定所述第一特征的特征源文件與所述樣本文件符合異常變形規律，觸發所述失效確定單元400。
[0102]除上述三種方式外，還可以通過對比其他方式確定是否為異常變形，例如:對比PE頭的部分字段(如時間戳、檢驗和)、對比附加數據等。
[0103]可選的，變形判斷單元300可以同時包括上述的子單元，同時根據上述幾種方式來確定第一特征的特征源文件與樣本文件符合異常變形規律，例如:同時根據方式二和方式三中的子單元，如果確定第一特征的特征源文件與樣本文件符合如下兩個條件中的任意一個，則確定二者符合異常變形規律:PE節表的相似度低于預設第二閾值、PE節的相似度低于預設第三閾值。
[0104]失效確定單元400，用于確定所述第一特征為失效特征。
[0105]本發明實施例提供的一種黑特征庫中失效特征的確定系統，可以將黑特征庫中的特征與樣本文件進行對比，當黑特征庫中的特征命中了與該特征的源樣本文件符合異常變形規律的樣本文件時，則確定該特征出現誤命中行為，屬于失效特征。本發明通過異常變形規律來確定失效特征，所使用的樣本文件可隨機選取，因此不再需要通過常用軟件庫來查找失效特征，提高了失效特征的查找效果，保護了設備的安全。
[0106]如圖4所示，本發明實施例提供的另一種黑特征庫中失效特征的確定系統，可以包括:特征刪除單元500，用于在所述失效確定單元400確定所述第一特征為失效特征后，將所述第一特征從所述黑特征庫中刪除。
[0107]其中，所述第一特征按照第一提取方式從所述第一特征的特征源文件中提取得至IJ，在本發明其他實施例總，圖4所示系統還可以包括:特征提取單元，用于在所述特征刪除單元500將所述第一特征從所述黑特征庫中刪除后，按照第二提取方式從所述第一特征的特征源文件中提取特征并放入所述黑特征庫中，所述第二提取方式與所述第一提取方式不同。
[0108]其中，所述第一提取方式可以為泛型特征提取方式。可選的，所述第二提取方式可以為全文哈希值特征提取方式。[0109]泛型特征提取方式提取的泛型特征更具有普遍性，因此對相似的惡意文件具有較好的檢出效果，但同時誤命中幾率也較高。全文哈希值特征提取方式提取的特征的誤命中幾率較低，但僅能命中所提取的特征的特征源文件。通過對出現誤命中的泛型特征進行刪除，并替換為使用全文哈希值特征提取方式提取的特征就可以將出現誤命中的失效特征替換為有效特征，從而降低黑特征庫中特征的誤報率。
[0110]需要說明的是，在本文中，諸如第一和第二等之類的關系術語僅僅用來將一個實體或者操作與另一個實體或操作區分開來，而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關系或者順序。而且，術語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者設備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者設備所固有的要素。在沒有更多限制的情況下，由語句“包括一個……”限定的要素，并不排除在包括所述要素的過程、方法、物品或者設備中還存在另外的相同要素。
[0111]本說明書中的各個實施例均采用相關的方式描述，各個實施例之間相同相似的部分互相參見即可，每個 實施例重點說明的都是與其他實施例的不同之處。尤其，對于系統實施例而言，由于其基本相似于方法實施例，所以描述的比較簡單，相關之處參見方法實施例的部分說明即可。
[0112]以上所述僅為本發明的較佳實施例而已，并非用于限定本發明的保護范圍。凡在本發明的精神和原則之內所作的任何修改、等同替換、改進等，均包含在本發明的保護范圍內。
【權利要求】
1.一種黑特征庫中失效特征的確定方法，其特征在于，包括: 獲得黑特征庫中的第一特征； 判斷樣本文件是否具有所述第一特征，如果是，則判斷所述樣本文件與所述第一特征的特征源文件是否符合預定義的異常變形規律，如果是，則確定所述第一特征為失效特征。
2.根據權利要求1所述的方法，其特征在于，還包括: 在確定所述第一特征為失效特征后，將所述第一特征從所述黑特征庫中刪除。
3.根據權利要求2所述的方法，其特征在于，所述第一特征按照第一提取方式從所述第一特征的特征源文件中提取得到，在將所述第一特征從所述黑特征庫中刪除后，所述方法還包括: 按照第二提取方式從所述第一特征的特征源文件中提取特征并放入所述黑特征庫中，所述第二提取方式與所述第一提取方式不同。
4.根據權利要求1或2所述的方法，其特征在于，所述判斷所述樣本文件與所述第一特征的特征源文件是否符合預定義的異常變形規律，包括: 獲得所述樣本文件與所述第一特征的特征源文件的代碼相似度； 判斷所述代碼相似度是否低于預設第一閾值，如果是，則確定所述第一特征的特征源文件與所述樣本文件符合預定義的異常變形規律。
5.根據權利要求1或2所述的方法，其特征在于，所述判斷所述樣本文件與所述第一特征的特征源文件是否符合預定義的異常變形規律，包括: 獲得所述樣本文件的PE節表與所述第一特征的特征源文件的PE節表的相似度； 判斷所述相似度是否低于預設第二閾值，如果是，則確定所述第一特征的特征源文件與所述樣本文件符合預定義的異常變形規律。
6.根據權利要求1或2所述的方法，其特征在于，所述判斷所述樣本文件與所述第一特征的特征源文件是否符合預定義的異常變形規律，包括: 獲得所述樣本文件的PE節與所述第一特征的特征源文件的PE節的相似度； 判斷所述相似度是否低于預設第三閾值，如果是，則確定所述第一特征的特征源文件與所述樣本文件符合異常變形規律。
7.一種黑特征庫中失效特征的確定系統，其特征在于，包括:特征獲得單元、文件判斷單元、變形判斷單元和失效確定單元， 所述特征獲得單元，用于獲得黑特征庫中的第一特征； 所述文件判斷單元，用于判斷樣本文件是否具有所述第一特征，如果是，則觸發所述變形判斷單元； 所述變形判斷單元，用于判斷所述樣本文件與所述第一特征的特征源文件是否符合預定義的異常變形規律，如果是，則觸發所述失效確定單元； 所述失效確定單元，用于確定所述第一特征為失效特征。
8.根據權利要求7所述的系統，其特征在于，還包括:特征刪除單元，用于在所述失效確定單元確定所述第一特征為失效特征后，將所述第一特征從所述黑特征庫中刪除。
9.根據權利要求8所述的系統，其特征在于，所述第一特征按照第一提取方式從所述第一特征的特征源文件中提取得到，所述系統還包括:特征提取單元，用于在所述特征刪除單元將所述第一特征從所述黑特征庫中刪除后，按照第二提取方式從所述第一特征的特征源文件中提取特征并放入所述黑特征庫中，所述第二提取方式與所述第一提取方式不同。
10.根據權利要求7或8所述的系統，其特征在于，所述變形判斷單元，包括:代碼相似度獲得子單元和第一相似度判斷子單元， 所述代碼相似度獲得子單元，用于獲得所述樣本文件與所述第一特征的特征源文件的代碼相似度； 所述第一相似度判斷子單元，用于判斷所述代碼相似度是否低于預設第一閾值，如果是，則確定所述第一特征的特征源文件與所述樣本文件符合預定義的異常變形規律，觸發所述失效確定單兀。
11.根據權利要求7或8所述的系統，其特征在于，所述變形判斷單元，包括:節表相似度獲得子單元和第二相似度判斷子單元， 所述節表相似度獲得子單元，用于獲得所述樣本文件的PE節表與所述第一特征的特征源文件的PE節表的相似度； 所述第一相似度判斷子單元，用于判斷所述相似度是否低于預設第二閾值，如果是，則確定所述第一特征的特征源文件與所述樣本文件符合預定義的異常變形規律，觸發所述失效確定單元。
12.根據權利要求7或8所述的系統，其特征在于，所述變形判斷單元，包括:PE節相似度獲得子單元和第三相似度判斷子單元， 所述PE節相似度獲得子單元，用于獲得所述樣本文件的PE節與所述第一特征的特征源文件的PE節的相似度；所述第三相似度判斷子單元，用于判斷所述相似度是否低于預設第三閾值，如果是，則確定所述第一特征的特征源文件與所述樣本文件符合異常變形規律，觸發所述失效確定單元。
【文檔編號】G06F21/56GK103927486SQ201410188680
【公開日】2014年7月16日 申請日期:2014年5月6日 優先權日:2014年5月6日
【發明者】王鑫, 姚輝, 陳勇 申請人:珠海市君天電子科技有限公司