[发明专利]样本分析方法、装置及存储介质

权利要求书

1.一种样本分析方法，其特征在于，包括以下步骤：

接收上传的样本，对所述样本进行过滤处理；

对过滤处理后的样本进行归类处理；

对归类处理后的样本按照对应的类别进行分析。

2.根据权利要求1所述的方法，其特征在于，所述对样本进行过滤处理的步骤包括：

过滤掉所述样本组成的样本集中不符合预定分析条件的样本；所述不符合预定分析条件的样本包括已损坏的程序文件、系统不支持的文件格式或者体积过大的文件。

3.根据权利要求2所述的方法，其特征在于，所述过滤掉所述样本组成的样本集中不符合预定分析条件的样本的步骤之后还包括：

使用反恶意引擎对所述样本进行扫描， 过滤掉其中被所述反恶意引擎识别的样本。

4.根据权利要求1、2或3所述的方法，其特征在于，所述对过滤处理后的样本进行归类处理的步骤包括：

对过滤处理后的样本进行内容扫描，为每一样本生成一类别特征码；

根据所述类别特征码查找预置的数据库，判断所述数据库中是否存在与所述类别特征码相同或相似的类别特征码；

若是，则将所述样本的标识号记录到该类别特征码对应的类别中；否则

在所述数据库中创建一对应所述类别特征码的类别，并以所述类别特征码为索引，将所述样本的标识号记录到该类别特征码对应的类别中。

5.根据权利要求4所述的方法，其特征在于，所述对归类处理后的样本按照对应的类别进行分析的步骤包括：

对归类处理后的每一类别样本集，判断该类别样本集中是否有样本分析过，若是，则结束对该类别的样本分析流程；否则

从该类别样本中随机挑选预定数量的样本进行分析。

6.一种样本分析装置，其特征在于，包括：

过滤模块，用于接收上传的样本，对所述样本进行过滤处理；

聚类模块，用于对过滤处理后的样本进行归类处理；

分析模块，用于对归类处理后的样本按照对应的类别进行分析。

7.根据权利要求6所述的装置，其特征在于，所述过滤模块包括：

过滤单元，用于过滤掉所述样本组成的样本集中不符合预定分析条件的样本；所述不符合预定分析条件的样本包括已损坏的程序文件、系统不支持的文件格式或者体积过大的文件。

8.根据权利要求7所述的装置，其特征在于，所述过滤模块还包括：

反恶意引擎单元，用于使用反恶意引擎对所述样本进行扫描， 过滤掉其中被所述反恶意引擎识别的样本。

9.根据权利要求6、7或8所述的装置，其特征在于，所述聚类模块包括：

特征码生成单元，用于对过滤处理后的样本进行内容扫描，为每一样本生成一类别特征码；

判断单元，用于根据所述类别特征码查找预置的数据库，判断所述数据库中是否存在与所述类别特征码相同或相似的类别特征码；

分类单元，用于当所述数据库中存在所述类别特征码时，将所述样本的标识号记录到该类别特征码对应的类别中；否则，在所述数据库中创建一对应所述类别特征码的类别，并以所述类别特征码为索引，将所述样本的标识号记录到该类别特征码对应的类别中。

10.根据权利要求9所述的装置，其特征在于，所述分析模块还用于对归类处理后的每一类别样本集，判断该类别样本集中是否有样本分析过，若是，则不对该类别的样本进行分析；否则从该类别样本中随机挑选预定数量的样本进行分析。

11.一种计算机可读取的存储介质，在其上存储了使计算机能够运行的程序，在程序装入计算机的存储器内后，接收上传的样本，对所述样本进行过滤处理；对过滤处理后的样本进行归类处理；对归类处理后的样本按照对应的类别进行分析。