一種基于統(tǒng)計的反病毒引擎特征碼評價方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種基于統(tǒng)計的反病毒引擎特征碼評價方法及系統(tǒng)�,首先,從病毒庫中選取所需病毒標(biāo)本組成基礎(chǔ)標(biāo)本集��;針對所述基礎(chǔ)標(biāo)本集提取特征碼��,所述特征碼為一類或多類�;針對每類特征碼,設(shè)定n個檢測點��,每個檢測點取值ci���,與ci相對應(yīng)的權(quán)值為wi,所述ci為檢出的病毒標(biāo)本數(shù)量��,接著利用本發(fā)明所給出的基于統(tǒng)計思想的指標(biāo)值計算公式����,計算出各項指標(biāo)值,參考所得到的指標(biāo)值�����,依據(jù)反病毒引擎具體應(yīng)用場景要求,選取所需特征碼���。本發(fā)明所述的方法及系統(tǒng)����,給出了反病毒引擎從病毒標(biāo)本選取����,到所需特征碼選取的解決方案。
【專利說明】一種基于統(tǒng)計的反病毒引擎特征碼評價方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】����,尤其涉及一種基于統(tǒng)計的反病毒引擎特征碼評價方法及系統(tǒng)。
【背景技術(shù)】
[0002]隨著計算機(jī)技術(shù)及Internet的發(fā)展,人們對計算機(jī)的應(yīng)用越加廣泛����,由此,計算機(jī)病毒對人們的危害也越來越大��。反病毒技術(shù)也在此潮流中逐漸發(fā)展壯大�����,反病毒引擎就是反病毒技術(shù)的一個主要體現(xiàn)。病毒庫是已經(jīng)發(fā)現(xiàn)的病毒的標(biāo)本集合��,傳統(tǒng)反病毒引擎的主要功能之一���,就是用病毒庫中的標(biāo)本去對照機(jī)器中的所有程序或文件��,看是不是符合這些標(biāo)本����,若符合則是病毒��,否則不一定是病毒�����。
[0003]傳統(tǒng)反病毒引擎主要是使用基于特征碼的靜態(tài)掃描技術(shù)����,即在文件中驗證是否存在相匹配特征,如果匹配����,就可判定文件感染了某種病毒���。但一款成熟的反病毒引擎�,僅使用某一種特征碼(最簡單的就是全文件HASH)是非常困難的,因為這很難滿足通用反病毒引擎既要具備高覆蓋率又要保證高檢測速度的需求�����。因此���,眾多反病毒引擎廠商往往都會對各自病毒庫中的標(biāo)本提取多類的特征碼��,以在不同的應(yīng)用場景選擇使用����。這就會面臨如下問題:
[0004]如何對不同特征碼的應(yīng)用場景進(jìn)行評價:
[0005]不同特征碼由于其提取位置和提取算法的不同�,會具有不同的特點及適用場景,比如有的特征碼誤判率極低�����,但單個特征碼僅能檢出很少的病毒標(biāo)本�����,有的單個特征碼可以檢出很多病毒標(biāo)本�,但誤報率同樣卻很高���。如何對不同特征碼進(jìn)行系統(tǒng)化評價,讓反病毒引擎開發(fā)人員根據(jù)所發(fā)布引擎的特點進(jìn)行選擇���,就成為本專利著重解決的一個問題�����。
[0006]如何建立完整的特征碼評價體系:
[0007]隨著病毒庫中標(biāo)本數(shù)量逐漸增加�,反病毒廠商為了維持每次發(fā)布引擎的檢索高效率�,都會只選擇部分標(biāo)本作為引擎的基礎(chǔ)標(biāo)本集,上文描述的特征碼評價方法得出的結(jié)論在不同的基礎(chǔ)標(biāo)本集中不會是一樣的�,這就需要建立一個體系,完善基礎(chǔ)標(biāo)本集生成到完成評價的整個過程����。
【發(fā)明內(nèi)容】
[0008]針對上述技術(shù)問題,本發(fā)明提供了一種基于統(tǒng)計的反病毒引擎特征碼評價方法及系統(tǒng)�����,該方法通過量化統(tǒng)計的方法���,得出有關(guān)特征碼的各類指標(biāo)值,最后由開發(fā)人員根據(jù)應(yīng)用場景等選擇所需的特征碼。
[0009]本發(fā)明采用如下方法來實現(xiàn):一種基于統(tǒng)計的反病毒引擎特征碼評價方法�,包括:
[0010]從病毒庫中選取所需病毒標(biāo)本組成基礎(chǔ)標(biāo)本集;
[0011]針對所述基礎(chǔ)標(biāo)本集提取特征碼�,所述特征碼為一類或多類;
[0012]針對每類特征碼�,設(shè)定η個檢測點,每個檢測點取值Ci,與Ci相對應(yīng)的權(quán)值為Wi,所述η和Ci的取值視基礎(chǔ)樣本集和特征碼情況而定����,所述Wi的取值用來調(diào)整各檢測點的取值比重;
[0013]利用如下公式計算指標(biāo)值index:
【權(quán)利要求】
1.一種基于統(tǒng)計的反病毒引擎特征碼評價方法�,其特征在于,包括: 從病毒庫中選取所需病毒標(biāo)本組成基礎(chǔ)標(biāo)本集����; 針對所述基礎(chǔ)標(biāo)本集提取特征碼,所述特征碼為一類或多類����; 針對每類特征碼,設(shè)定η個檢測點��,每個檢測點取值Ci,與Ci相對應(yīng)的權(quán)值為Wi����,所述η和Ci的取值視基礎(chǔ)樣本集和特征碼情況而定��,所述Wi的取值用來調(diào)整各檢測點的取值比重���; 利用如下公式計算指標(biāo)值index:
2.如權(quán)利要求1所述的方法,其特征在于�,所述指標(biāo)值index為特征碼病毒標(biāo)本檢出率,所述指標(biāo)值index的大小與特征碼的病毒標(biāo)本檢出能力成正比����,其中,所述^NumberOfAllSignature
為基礎(chǔ)標(biāo)本集中該類特征碼的特征總數(shù)量���;所述為由該類特征碼檢出的病毒標(biāo)本數(shù)量大于Ci時的特征數(shù)量����。
3.如權(quán)利要求1所述的方法�����,其特征在于����,所述指標(biāo)值index為特征碼單一病毒家族檢出率,所述指標(biāo)值index的大小與特征碼的單一病毒家族的病毒標(biāo)本檢出能力成正比��,其中,所述NNumbOTMA11Signature為基礎(chǔ)標(biāo)本集中該類特征碼的特征總數(shù)量�,所述^NiimbeiOfSignaturciSomeCunchnun>Lt) 為由該類特征碼檢出的屬于單一病毒家族的病毒標(biāo)本數(shù)量大于Ci時的特征數(shù)量���。
4.如權(quán)利要求1所述的方法��,其特征在于��,所述指標(biāo)值index為特征碼單一病毒類型檢出率�����,所述指標(biāo)值index的大小與特征碼的單一病毒類型的病毒標(biāo)本檢出能力成正比����,其中����,所述NNumbOTMA11Signature為基礎(chǔ)標(biāo)本集中該類特征碼的特征總數(shù)量,所述^NumberOpignature(SomeConditwn>Ci)為由該類特征碼檢出的屬于單一病毒類型的病毒標(biāo)本數(shù)量大于Ci時的特征數(shù)量���。
5.如權(quán)利要求1所述的方法����,其特征在于,所述指標(biāo)值index為特征碼單一運(yùn)行平臺檢出率���,所述指標(biāo)值index的大小與特征碼的單一運(yùn)行平臺的病毒標(biāo)本檢出能力成正比����,其中�����,所述NNumbOTMA11Signature為基礎(chǔ)標(biāo)本集中該類特征碼的特征總數(shù)量��,所述 丨丨berO(S丨gllunlrHSmleC艦I丨咖為由該類特征碼檢出的屬于單一運(yùn)行平臺的病毒標(biāo)本數(shù)量大于Ci時的特征數(shù)量�。
6.如權(quán)利要求1所述的方法,其特征在于��,所述指標(biāo)值index為特征碼單一文件格式檢出率����,所述指標(biāo)值index的大小與特征碼的單一文件格式的病毒標(biāo)本檢出能力成正比,其中����,所述NNumbOTMA11Signature為基礎(chǔ)標(biāo)本集中該類特征碼的特征總數(shù)量,所述.NNumber0pig.!Conditions)為由該類特征碼檢出的屬于單一文件格式的病毒標(biāo)本數(shù)量大于Ci時的特征數(shù)量。
7.一種基于統(tǒng)計的反病毒引擎特征碼評價系統(tǒng)���,其特征在于��,包括: 基礎(chǔ)標(biāo)本集準(zhǔn)備模塊�����,用于從病毒庫中選取所需病毒標(biāo)本組成基礎(chǔ)標(biāo)本集; 特征碼提取模塊��,用于針對所述基礎(chǔ)標(biāo)本集提取特征碼��,所述特征碼為一類或多類�;統(tǒng)計計算模塊,用于針對每類特征碼��,設(shè)定n個檢測點����,每個檢測點取值Ci,與Ci相對應(yīng)的權(quán)值為Wi����,所述η和Ci的取值視基礎(chǔ)樣本集和特征碼情況而定,所述Wi的取值用來調(diào)整各檢測點的取值比重��; 利用如下公式計算指標(biāo)值index:
8.如權(quán)利要求7所述的系統(tǒng),其特征在于�����,所述指標(biāo)值index為特征碼病毒標(biāo)本檢出率����,所述指標(biāo)值index的大小與特征碼的病毒標(biāo)本檢出能力成正比,其中�,所述NNumberOfAllSignature 為基礎(chǔ)標(biāo)本集中該類特征碼的特征總數(shù)里?,所訪MimberOifSigmmire�、SomeCotuJitiimx、)為由該類特征碼檢出的病毒標(biāo)本數(shù)量大于Ci時的特征數(shù)量�。
9.如權(quán)利要求7所述的系統(tǒng),其特征在于���,所述指標(biāo)值index為特征碼單一病毒家族檢出率�����,所述指標(biāo)值index的大小與特征碼的單一病毒家族的病毒標(biāo)本檢出能力成正比����,其中,所述NNumbOTMA11Signature為基礎(chǔ)標(biāo)本集中該類特征碼的特征總數(shù)量���,所述^NiuuberOfSigjujriirelSomeCondition>ct) 為由該類特征碼檢出的屬于單一病毒家族的病毒標(biāo)本數(shù)量大于Ci時的特征數(shù)量�����。
10.如權(quán)利要求7所述的系統(tǒng)����,其特征在于��,所述指標(biāo)值index為特征碼單一病毒類型檢出率�����,所述指標(biāo)值index的大小與特征碼的單一病毒類型的病毒標(biāo)本檢出能力成正比��,其中���,所述NNumbOTMA11Signature為基礎(chǔ)標(biāo)本集中該類特征碼的特征總數(shù)量,所述^NmnberOpigmm,MSomeCondUion>ct)為由該類特征碼檢出的屬于單一病毒類型的病毒標(biāo)本數(shù)量大于Ci時的特征數(shù)量����。
11.如權(quán)利要求7所述的系統(tǒng),其特征在于,所述指標(biāo)值index為特征碼單一運(yùn)行平臺檢出率�,所述指標(biāo)值index的大小與特征碼的單一運(yùn)行平臺的病毒標(biāo)本檢出能力成正比,其中���,所述NNumbOTMA11Signature為基礎(chǔ)標(biāo)本集中該類特征碼的特征總數(shù)量�����,所述NNunlberOplgnun(SomeCondMon>ct)為由該類特征碼檢出的屬于單一運(yùn)行平臺的病毒標(biāo)本數(shù)量大于Ci時的特征數(shù)量��。
12.如權(quán)利要求7所述的系統(tǒng)���,其特征在于,所述指標(biāo)值index為特征碼單一文件格式檢出率���,所述指標(biāo)值index的大小與特征碼的單一文件格式的病毒標(biāo)本檢出能力成正比����,其中�����,所述NNumbOTMA11Signature為基礎(chǔ)標(biāo)本集中該類特征碼的特征總數(shù)量��,所述NNw?be,Omgnature{SumeCondition^i)為由該類特征碼檢出的屬于單一文件格式的病毒標(biāo)本數(shù)量大于Ci時的特征數(shù)量。
【文檔編號】G06F21/56GK103902904SQ201310673841
【公開日】2014年7月2日 申請日期:2013年12月11日 優(yōu)先權(quán)日:2013年12月11日
【發(fā)明者】于佳華, 孫晉超, 肖新光 申請人:哈爾濱安天科技股份有限公司