[发明专利]自学习的文件鉴定方法及系统

说明书

技术领域

本发明涉及计算机安全防护技术领域，具体涉及对未知文件进行鉴定以判断是否为病毒的方法及系统。

背景技术

目前，计算机及其软件技术有着快速的发展，随之而来的还有病毒的出现。我们知道，计算机病毒是人为的特制程序代码，其具有自我复制能力，很强的感染性，一定的潜伏性，特定的触发性和很大的破坏性。

鉴于病毒的危害，传统的的病毒检测方法为特征码匹配的方法：主要是在用户端计算机建立病毒库，从病毒库中先取出一个病毒的特征码及其偏移量，再按照偏移量提取被检测文件的特征码，与该病毒的特征码进行比对，如果匹配则判定该文件为该类病毒文件，否则从病毒库中取下一个病毒的特征码，直至所有病毒比对完毕，则判断该文件安全。传统的特征码鉴定有几个缺点：1.本地必须有杀毒软件的特征库，判断的准确性取决于特征库是否全面，是否升级；2.特征库需要频繁升级，过期的病毒库鉴定能力无法满足安全需求；3.病毒种类增长很快，本地特征库也在迅速膨胀，使得杀毒软件的扫描效率下降，杀毒软件对系统资源的需求也在不断增大；4.对新病毒没有鉴定能力。

为了解决传统技术的上述缺陷，最新采用了“云查杀”技术，简单的讲，就是用户端不再建立病毒库，而是主要负责扫描和发现本地的新文件，并提取新文件的一部分特征信息，上传至云端（服务器端），通过服务器端进行判毒，然后返回结果。云端设有多款鉴定器，有启发式的，也有行为判定的，还有其它的专门针对某些病毒的鉴定器，用各种不同的方式去鉴定一个样本的安全性，然后通过加权或者其它的算法给出一个总评，来最终判断文件的安全性。

可知，鉴定器的效率及准确性成为了关键，而且这些鉴定器是在每天更新。因为每天都有新的病毒的形式，拿昨天没有修改过的鉴定器可能就鉴定不出今天的病毒，也是完全有可能的。然而，现有技术中，对鉴定器的修改和更新是人为完成的，主要是病毒鉴定师通过每天的回扫和人工鉴定，对一些鉴定器给出的结果做出调整，从而使得查杀率每天都能进步。这样，病毒鉴定师的工作量就会增加很多，所以有必要进一步改进或完善现有文件鉴定系统。

发明内容

本发明的目的是提供一种自学习的文件鉴定方法及系统，能够自动地更新和修改鉴定器，减小病毒鉴定师的认为工作量，完善现有文件鉴定系统的功能。实现上述目的的技术方案如下：

一种自学习的文件鉴定方法，包括以下步骤：

（1）在服务器端建立可动态更新的白素材库、黑素材库；

（2）将客户端的新样本进行素材提取并上传至服务器端；

（3）服务器端的鉴定器对新样本进行鉴定；

（4）将新样本的鉴定结果返回客户端；

（5）根据新样本的鉴定结果更新所述白素材库、黑素材库；

其特征在于：还包括更新所述鉴定器的步骤，该步骤包括：a.抽取所述白素材库、黑素材库中的素材；b.总结某类白文件的特征及某类黑文件的特征；c.提取总结结果中可被利用的鉴定规则信息，并提供给鉴定器；d.根据所述鉴定规则信息自动更新所述鉴定器。

作为具体的技术方案，所述步骤b中总结白文件的特征或黑文件的特征时，先对白文件素材及黑文件素材进行细化分类，根据细化分类的类别分别进行特征总结。

作为具体的技术方案，所述步骤b中是通过对同一细化分类下的素材彼此进行比对，总结某类白文件的特征或某类黑文件的特征。

作为具体的技术方案，所述步骤c中所述的可被利用的鉴定规则信息包括：黑文件某时间段出现的频率、黑文件变化的趋势。

作为具体的技术方案，所述步骤c中所述的可被利用的鉴定规则信息包括：白文件的来源、白文件被错判的频率。

一种自学习的文件鉴定系统，其特征在于，包括：

客户端新样本扫描模块，用于发现及定位客户端新出现的文件；

新样本素材提取模块，用于提取新样本的素材并上传至服务器端；

新样本素材接收模块，用于在服务器端接收所述新样本的素材；

鉴定器，鉴定新样本素材，输出鉴定结果；

素材库管理模块，根据鉴定器输出的鉴定结果更新白素材库、黑素材库；

白素材库、黑素材库，用于白素材、黑素材信息；

其特征在于，还包括：训练器，根据所述白素材库、黑素材库中的素材，获取可被利用的鉴定规则信息，并提供给鉴定器；及鉴定器自动更新模块，用于根据所述鉴定规则信息自动更新所述鉴定器。