一種基于統(tǒng)計(jì)的反病毒引擎特征碼評(píng)價(jià)方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開(kāi)了一種基于統(tǒng)計(jì)的反病毒引擎特征碼評(píng)價(jià)方法及系統(tǒng)，首先，從病毒庫(kù)中選取所需病毒標(biāo)本組成基礎(chǔ)標(biāo)本集；針對(duì)所述基礎(chǔ)標(biāo)本集提取特征碼，所述特征碼為一類或多類；針對(duì)每類特征碼，設(shè)定n個(gè)檢測(cè)點(diǎn)，每個(gè)檢測(cè)點(diǎn)取值ci，與ci相對(duì)應(yīng)的權(quán)值為wi，所述ci為檢出的病毒標(biāo)本數(shù)量，接著利用本發(fā)明所給出的基于統(tǒng)計(jì)思想的指標(biāo)值計(jì)算公式，計(jì)算出各項(xiàng)指標(biāo)值，參考所得到的指標(biāo)值，依據(jù)反病毒引擎具體應(yīng)用場(chǎng)景要求，選取所需特征碼。本發(fā)明所述的方法及系統(tǒng)，給出了反病毒引擎從病毒標(biāo)本選取，到所需特征碼選取的解決方案。
【專利說(shuō)明】一種基于統(tǒng)計(jì)的反病毒引擎特征碼評(píng)價(jià)方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】，尤其涉及一種基于統(tǒng)計(jì)的反病毒引擎特征碼評(píng)價(jià)方法及系統(tǒng)。
【背景技術(shù)】
[0002]隨著計(jì)算機(jī)技術(shù)及Internet的發(fā)展,人們對(duì)計(jì)算機(jī)的應(yīng)用越加廣泛，由此，計(jì)算機(jī)病毒對(duì)人們的危害也越來(lái)越大。反病毒技術(shù)也在此潮流中逐漸發(fā)展壯大，反病毒引擎就是反病毒技術(shù)的一個(gè)主要體現(xiàn)。病毒庫(kù)是已經(jīng)發(fā)現(xiàn)的病毒的標(biāo)本集合，傳統(tǒng)反病毒引擎的主要功能之一，就是用病毒庫(kù)中的標(biāo)本去對(duì)照機(jī)器中的所有程序或文件，看是不是符合這些標(biāo)本，若符合則是病毒，否則不一定是病毒。
[0003]傳統(tǒng)反病毒引擎主要是使用基于特征碼的靜態(tài)掃描技術(shù)，即在文件中驗(yàn)證是否存在相匹配特征，如果匹配，就可判定文件感染了某種病毒。但一款成熟的反病毒引擎，僅使用某一種特征碼(最簡(jiǎn)單的就是全文件HASH)是非常困難的，因?yàn)檫@很難滿足通用反病毒引擎既要具備高覆蓋率又要保證高檢測(cè)速度的需求。因此，眾多反病毒引擎廠商往往都會(huì)對(duì)各自病毒庫(kù)中的標(biāo)本提取多類的特征碼，以在不同的應(yīng)用場(chǎng)景選擇使用。這就會(huì)面臨如下問(wèn)題:
[0004]如何對(duì)不同特征碼的應(yīng)用場(chǎng)景進(jìn)行評(píng)價(jià):
[0005]不同特征碼由于其提取位置和提取算法的不同，會(huì)具有不同的特點(diǎn)及適用場(chǎng)景，比如有的特征碼誤判率極低，但單個(gè)特征碼僅能檢出很少的病毒標(biāo)本，有的單個(gè)特征碼可以檢出很多病毒標(biāo)本，但誤報(bào)率同樣卻很高。如何對(duì)不同特征碼進(jìn)行系統(tǒng)化評(píng)價(jià)，讓反病毒引擎開(kāi)發(fā)人員根據(jù)所發(fā)布引擎的特點(diǎn)進(jìn)行選擇，就成為本專利著重解決的一個(gè)問(wèn)題。
[0006]如何建立完整的特征碼評(píng)價(jià)體系:
[0007]隨著病毒庫(kù)中標(biāo)本數(shù)量逐漸增加，反病毒廠商為了維持每次發(fā)布引擎的檢索高效率，都會(huì)只選擇部分標(biāo)本作為引擎的基礎(chǔ)標(biāo)本集，上文描述的特征碼評(píng)價(jià)方法得出的結(jié)論在不同的基礎(chǔ)標(biāo)本集中不會(huì)是一樣的，這就需要建立一個(gè)體系，完善基礎(chǔ)標(biāo)本集生成到完成評(píng)價(jià)的整個(gè)過(guò)程。

【發(fā)明內(nèi)容】

[0008]針對(duì)上述技術(shù)問(wèn)題，本發(fā)明提供了一種基于統(tǒng)計(jì)的反病毒引擎特征碼評(píng)價(jià)方法及系統(tǒng)，該方法通過(guò)量化統(tǒng)計(jì)的方法，得出有關(guān)特征碼的各類指標(biāo)值，最后由開(kāi)發(fā)人員根據(jù)應(yīng)用場(chǎng)景等選擇所需的特征碼。
[0009]本發(fā)明采用如下方法來(lái)實(shí)現(xiàn):一種基于統(tǒng)計(jì)的反病毒引擎特征碼評(píng)價(jià)方法，包括:
[0010]從病毒庫(kù)中選取所需病毒標(biāo)本組成基礎(chǔ)標(biāo)本集；
[0011]針對(duì)所述基礎(chǔ)標(biāo)本集提取特征碼，所述特征碼為一類或多類；
[0012]針對(duì)每類特征碼，設(shè)定η個(gè)檢測(cè)點(diǎn)，每個(gè)檢測(cè)點(diǎn)取值Ci,與Ci相對(duì)應(yīng)的權(quán)值為Wi,所述η和Ci的取值視基礎(chǔ)樣本集和特征碼情況而定，所述Wi的取值用來(lái)調(diào)整各檢測(cè)點(diǎn)的取值比重；
[0013]利用如下公式計(jì)算指標(biāo)值index:
【權(quán)利要求】
1.一種基于統(tǒng)計(jì)的反病毒引擎特征碼評(píng)價(jià)方法，其特征在于，包括: 從病毒庫(kù)中選取所需病毒標(biāo)本組成基礎(chǔ)標(biāo)本集； 針對(duì)所述基礎(chǔ)標(biāo)本集提取特征碼，所述特征碼為一類或多類； 針對(duì)每類特征碼，設(shè)定η個(gè)檢測(cè)點(diǎn)，每個(gè)檢測(cè)點(diǎn)取值Ci,與Ci相對(duì)應(yīng)的權(quán)值為Wi，所述η和Ci的取值視基礎(chǔ)樣本集和特征碼情況而定，所述Wi的取值用來(lái)調(diào)整各檢測(cè)點(diǎn)的取值比重； 利用如下公式計(jì)算指標(biāo)值index:
2.如權(quán)利要求1所述的方法，其特征在于，所述指標(biāo)值index為特征碼病毒標(biāo)本檢出率，所述指標(biāo)值index的大小與特征碼的病毒標(biāo)本檢出能力成正比，其中，所述^NumberOfAllSignature
為基礎(chǔ)標(biāo)本集中該類特征碼的特征總數(shù)量；所述為由該類特征碼檢出的病毒標(biāo)本數(shù)量大于Ci時(shí)的特征數(shù)量。
3.如權(quán)利要求1所述的方法，其特征在于，所述指標(biāo)值index為特征碼單一病毒家族檢出率，所述指標(biāo)值index的大小與特征碼的單一病毒家族的病毒標(biāo)本檢出能力成正比，其中，所述NNumbOTMA11Signature為基礎(chǔ)標(biāo)本集中該類特征碼的特征總數(shù)量，所述^NiimbeiOfSignaturciSomeCunchnun>Lt) 為由該類特征碼檢出的屬于單一病毒家族的病毒標(biāo)本數(shù)量大于Ci時(shí)的特征數(shù)量。
4.如權(quán)利要求1所述的方法，其特征在于，所述指標(biāo)值index為特征碼單一病毒類型檢出率，所述指標(biāo)值index的大小與特征碼的單一病毒類型的病毒標(biāo)本檢出能力成正比，其中，所述NNumbOTMA11Signature為基礎(chǔ)標(biāo)本集中該類特征碼的特征總數(shù)量，所述^NumberOpignature(SomeConditwn>Ci)為由該類特征碼檢出的屬于單一病毒類型的病毒標(biāo)本數(shù)量大于Ci時(shí)的特征數(shù)量。
5.如權(quán)利要求1所述的方法，其特征在于，所述指標(biāo)值index為特征碼單一運(yùn)行平臺(tái)檢出率，所述指標(biāo)值index的大小與特征碼的單一運(yùn)行平臺(tái)的病毒標(biāo)本檢出能力成正比，其中，所述NNumbOTMA11Signature為基礎(chǔ)標(biāo)本集中該類特征碼的特征總數(shù)量，所述 丨丨berO(S丨gllunlrHSmleC艦I丨咖為由該類特征碼檢出的屬于單一運(yùn)行平臺(tái)的病毒標(biāo)本數(shù)量大于Ci時(shí)的特征數(shù)量。
6.如權(quán)利要求1所述的方法，其特征在于，所述指標(biāo)值index為特征碼單一文件格式檢出率，所述指標(biāo)值index的大小與特征碼的單一文件格式的病毒標(biāo)本檢出能力成正比，其中，所述NNumbOTMA11Signature為基礎(chǔ)標(biāo)本集中該類特征碼的特征總數(shù)量，所述.NNumber0pig.!Conditions)為由該類特征碼檢出的屬于單一文件格式的病毒標(biāo)本數(shù)量大于Ci時(shí)的特征數(shù)量。
7.一種基于統(tǒng)計(jì)的反病毒引擎特征碼評(píng)價(jià)系統(tǒng)，其特征在于，包括: 基礎(chǔ)標(biāo)本集準(zhǔn)備模塊，用于從病毒庫(kù)中選取所需病毒標(biāo)本組成基礎(chǔ)標(biāo)本集； 特征碼提取模塊，用于針對(duì)所述基礎(chǔ)標(biāo)本集提取特征碼，所述特征碼為一類或多類；統(tǒng)計(jì)計(jì)算模塊，用于針對(duì)每類特征碼，設(shè)定n個(gè)檢測(cè)點(diǎn)，每個(gè)檢測(cè)點(diǎn)取值Ci，與Ci相對(duì)應(yīng)的權(quán)值為Wi，所述η和Ci的取值視基礎(chǔ)樣本集和特征碼情況而定，所述Wi的取值用來(lái)調(diào)整各檢測(cè)點(diǎn)的取值比重； 利用如下公式計(jì)算指標(biāo)值index:

8.如權(quán)利要求7所述的系統(tǒng)，其特征在于，所述指標(biāo)值index為特征碼病毒標(biāo)本檢出率，所述指標(biāo)值index的大小與特征碼的病毒標(biāo)本檢出能力成正比，其中，所述NNumberOfAllSignature 為基礎(chǔ)標(biāo)本集中該類特征碼的特征總數(shù)里?，所訪MimberOifSigmmire、SomeCotuJitiimx、)為由該類特征碼檢出的病毒標(biāo)本數(shù)量大于Ci時(shí)的特征數(shù)量。
9.如權(quán)利要求7所述的系統(tǒng)，其特征在于，所述指標(biāo)值index為特征碼單一病毒家族檢出率，所述指標(biāo)值index的大小與特征碼的單一病毒家族的病毒標(biāo)本檢出能力成正比，其中，所述NNumbOTMA11Signature為基礎(chǔ)標(biāo)本集中該類特征碼的特征總數(shù)量，所述^NiuuberOfSigjujriirelSomeCondition>ct) 為由該類特征碼檢出的屬于單一病毒家族的病毒標(biāo)本數(shù)量大于Ci時(shí)的特征數(shù)量。
10.如權(quán)利要求7所述的系統(tǒng)，其特征在于，所述指標(biāo)值index為特征碼單一病毒類型檢出率，所述指標(biāo)值index的大小與特征碼的單一病毒類型的病毒標(biāo)本檢出能力成正比，其中，所述NNumbOTMA11Signature為基礎(chǔ)標(biāo)本集中該類特征碼的特征總數(shù)量，所述^NmnberOpigmm,MSomeCondUion>ct)為由該類特征碼檢出的屬于單一病毒類型的病毒標(biāo)本數(shù)量大于Ci時(shí)的特征數(shù)量。
11.如權(quán)利要求7所述的系統(tǒng)，其特征在于，所述指標(biāo)值index為特征碼單一運(yùn)行平臺(tái)檢出率，所述指標(biāo)值index的大小與特征碼的單一運(yùn)行平臺(tái)的病毒標(biāo)本檢出能力成正比，其中，所述NNumbOTMA11Signature為基礎(chǔ)標(biāo)本集中該類特征碼的特征總數(shù)量，所述NNunlberOplgnun(SomeCondMon>ct)為由該類特征碼檢出的屬于單一運(yùn)行平臺(tái)的病毒標(biāo)本數(shù)量大于Ci時(shí)的特征數(shù)量。
12.如權(quán)利要求7所述的系統(tǒng)，其特征在于，所述指標(biāo)值index為特征碼單一文件格式檢出率，所述指標(biāo)值index的大小與特征碼的單一文件格式的病毒標(biāo)本檢出能力成正比，其中，所述NNumbOTMA11Signature為基礎(chǔ)標(biāo)本集中該類特征碼的特征總數(shù)量，所述NNw?be,Omgnature{SumeCondition^i)為由該類特征碼檢出的屬于單一文件格式的病毒標(biāo)本數(shù)量大于Ci時(shí)的特征數(shù)量。
【文檔編號(hào)】G06F21/56GK103902904SQ201310673841
【公開(kāi)日】2014年7月2日 申請(qǐng)日期:2013年12月11日 優(yōu)先權(quán)日:2013年12月11日
【發(fā)明者】于佳華, 孫晉超, 肖新光 申請(qǐng)人:哈爾濱安天科技股份有限公司