[发明专利]一种黑特征库中失效特征的确定方法及系统

说明书

技术领域

本发明涉及失效特征筛查技术领域，特别是涉及一种黑特征库中失效特征的确定方法及系统。

背景技术

随着智能电子设备和网络的发展，计算机病毒对用户计算机安全的威胁也逐渐加剧。

为了保护用户的计算机，现有的安全软件商都通过黑特征库来查找病毒。黑特征库中的特征可以从特征源样本中提取得到，但提取的特征中可能存在失效特征，失效特征会导致误报率较高。为了将去除失效特征，现有技术通过建立常用软件库来查找黑特征库中的特征，如果某个特征命中常用软件库中的软件，则确定该特征为失效特征，从而可以将其从黑特征库中删除。

但是，由于不可能将所有常用软件放入常用软件库中，因此现有技术的失效特征查找效果较差。

发明内容

本发明实施例的目的在于提供一种黑特征库中失效特征的确定方法及系统，以实现提高失效特征查找效果的目的。

为达到上述目的，本发明实施例公开了一种黑特征库中失效特征的确定方法，包括：

获得黑特征库中的第一特征；

判断样本文件是否具有所述第一特征，如果是，则判断所述样本文件与所述第一特征的特征源文件是否符合预定义的异常变形规律，如果是，则确定所述第一特征为失效特征。

优选的，还包括：

在确定所述第一特征为失效特征后，将所述第一特征从所述黑特征库中删除。

优选的，所述第一特征按照第一提取方式从所述第一特征的特征源文件中提取得到，在将所述第一特征从所述黑特征库中删除后，所述方法还包括：

按照第二提取方式从所述第一特征的特征源文件中提取特征并放入所述黑特征库中，所述第二提取方式与所述第一提取方式不同。

优选的，所述判断所述样本文件与所述第一特征的特征源文件是否符合预定义的异常变形规律，包括：

获得所述样本文件与所述第一特征的特征源文件的代码相似度；

判断所述代码相似度是否低于预设第一阈值，如果是，则确定所述第一特征的特征源文件与所述样本文件符合预定义的异常变形规律。

优选的，所述判断所述样本文件与所述第一特征的特征源文件是否符合预定义的异常变形规律，包括：

获得所述样本文件的PE节表与所述第一特征的特征源文件的PE节表的相似度；

判断所述相似度是否低于预设第二阈值，如果是，则确定所述第一特征的特征源文件与所述样本文件符合预定义的异常变形规律。

优选的，所述判断所述样本文件与所述第一特征的特征源文件是否符合预定义的异常变形规律，包括：

获得所述样本文件的PE节与所述第一特征的特征源文件的PE节的相似度；

判断所述相似度是否低于预设第三阈值，如果是，则确定所述第一特征的特征源文件与所述样本文件符合异常变形规律。

一种黑特征库中失效特征的确定系统，包括：特征获得单元、文件判断单元、变形判断单元和失效确定单元，

所述特征获得单元，用于获得黑特征库中的第一特征；

所述文件判断单元，用于判断样本文件是否具有所述第一特征，如果是，则触发所述变形判断单元；

所述变形判断单元，用于判断所述样本文件与所述第一特征的特征源文件是否符合预定义的异常变形规律，如果是，则触发所述失效确定单元；

所述失效确定单元，用于确定所述第一特征为失效特征。

优选的，还包括：特征删除单元，用于在所述失效确定单元确定所述第一特征为失效特征后，将所述第一特征从所述黑特征库中删除。

优选的，所述第一特征按照第一提取方式从所述第一特征的特征源文件中提取得到，所述系统还包括：特征提取单元，用于在所述特征删除单元将所述第一特征从所述黑特征库中删除后，按照第二提取方式从所述第一特征的特征源文件中提取特征并放入所述黑特征库中，所述第二提取方式与所述第一提取方式不同。

优选的，所述变形判断单元，包括：代码相似度获得子单元和第一相似度判断子单元，

所述代码相似度获得子单元，用于获得所述样本文件与所述第一特征的特征源文件的代码相似度；

所述第一相似度判断子单元，用于判断所述代码相似度是否低于预设第一阈值，如果是，则确定所述第一特征的特征源文件与所述样本文件符合预定义的异常变形规律，触发所述失效确定单元。

优选的，所述变形判断单元，包括：节表相似度获得子单元和第二相似度判断子单元，

所述节表相似度获得子单元，用于获得所述样本文件的PE节表与所述第一特征的特征源文件的PE节表的相似度；