CN105468975B - 恶意代码误报的追踪方法、装置及系统 - Google Patents
恶意代码误报的追踪方法、装置及系统 Download PDFInfo
- Publication number
- CN105468975B CN105468975B CN201510860629.8A CN201510860629A CN105468975B CN 105468975 B CN105468975 B CN 105468975B CN 201510860629 A CN201510860629 A CN 201510860629A CN 105468975 B CN105468975 B CN 105468975B
- Authority
- CN
- China
- Prior art keywords
- sample
- malicious code
- wrong report
- mistake
- storehouse
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 73
- 230000007246 mechanism Effects 0.000 claims description 53
- 238000012216 screening Methods 0.000 claims description 18
- 238000012795 verification Methods 0.000 claims description 11
- 238000012986 modification Methods 0.000 claims description 6
- 230000004048 modification Effects 0.000 claims description 6
- 238000012549 training Methods 0.000 claims description 6
- 230000008859 change Effects 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 8
- 241000700605 Viruses Species 0.000 description 5
- 230000009286 beneficial effect Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 239000013589 supplement Substances 0.000 description 2
- 230000000840 anti-viral effect Effects 0.000 description 1
- 210000004556 brain Anatomy 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 230000035772 mutation Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000012706 support-vector machine Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种恶意代码误报的追踪方法、装置及系统,其中,恶意代码误报的追踪方法包括:获取恶意代码误报样本;将所述恶意代码误报样本与误报样本库中的样本进行相似度匹配,获取相似误报样本;根据所述相似误报样本确定导致恶意代码误报的样本特征。本发明通过将获取的恶意代码误报样本与误报样本库中的样本进行相似度匹配,确定恶意代码误报样本的相似误报样本,进而确定导致恶意代码误报的样本特征,查明了导致恶意代码误报的原因。
Description
技术领域
本发明涉及互联网技术,尤其是一种恶意代码误报的追踪方法、装置及系统。
背景技术
恶意代码(Malicious code)也称为恶意软件(Malware)。恶意代码为“运行在计算机上,使系统按照攻击者意愿执行任务的一组指令”。恶意代码通过将指令在隐蔽自身的条件下嵌入到其他代码中,从而达到破坏被感染计算机上的数据信息的完整性、运行具有入侵性的程序的目的。恶意代码的类型包括计算机病毒(Virus)、蠕虫(Worm)、特洛伊木马(Trojan horse)、僵尸网络(Botnet)、间谍网络(spyware)、后门(Backdoor)、Rootkitsd等。
当前计算机恶意代码正以惊人的速度蔓延开来,对计算机系统的安全构成了严重的威胁。早期的反病毒软件利用恶意代码的特征码这一静态特征来识别和检测隐藏在系统中的恶意代码,起到了一定的效果,但需要实时更新恶意代码的特征码数据库,严重占用系统资源。对于新出现的未知恶意代码更是无能为力。原因一方面是新恶意代码层出不穷;另一方面,许多恶意代码还在不停衍生出新的变种。
为了识别恶意代码,360研发了QVM引擎(Qihoo Support Vector Machine,人工智能引擎),其为一种比较新颖的恶意代码的提醒与查杀机制,具体为:先准备病毒样本和正常程序样本,然后利用人工智能的方法,通过学习病毒样本和正常代码样本,产生一个模型,然后利用模型去判断未知代码是否为恶意代码,从而实现对用户端中恶意代码的提醒与查杀。
然而,任何恶意代码的判断机制都不可能达到100%的准确率,无法绝对准确的对恶意代码进行判断,而恶意代码的误报易对用户造成不必要的困扰。
因此,如何快速、准确的确定恶意代码误报的原因,以及降低恶意代码的误报率成为当前亟待解决的问题之一。
发明内容
本申请实施例提供了一种恶意代码误报的追踪方法、装置及系统,以解决现有恶意代码的判断机制无法绝对准确的对恶意代码进行判断,恶意代码误报的原因不明,易对用户造成不必要的困扰的技术问题。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
根据本申请实施例的一个方面,提供了恶意代码误报的追踪方法,该恶意代码误报的追踪方法包括:
获取恶意代码误报样本;
将所述恶意代码误报样本与误报样本库中的样本进行相似度匹配,获取相似误报样本;
根据所述相似误报样本确定导致恶意代码误报的样本特征。
在基于上述方法的另一个实施例中,形成所述误报样本库包括:
获取恶意代码误报的统计样本;
根据所述恶意代码误报的统计样本,获取恶意代码误报样本及其对应的样本特征;
将所述恶意代码误报样本及其对应的样本特征关联存储,形成误报样本库。
在基于上述方法的另一个实施例中,根据所述恶意代码误报的统计样本,获取恶意代码误报样本及其对应的样本特征包括:
对所述恶意代码误报的统计样本进行样本筛选,确定恶意代码误报的学习样本;
获取所述恶意代码误报的学习样本的样本特征;
根据所获取的样本特征进行样本推演,获取与所述样本特征对应的恶意代码误报样本。
在基于上述方法的另一个实施例中,将所述恶意代码误报样本与误报样本库中的样本进行相似度匹配,获取相似误报样本包括:
将所述恶意代码误报样本分别与误报样本库中每个样本进行比较,获取所述恶意代码误报样本与误报样本库中的每个样本的相似度值;
判断每个所述相似度值是否大于相似度阈值;
若大于,则将该相似度值对应的误报样本库中样本确定为相似误报样本。
在基于上述方法的另一个实施例中,将所述恶意代码误报样本分别与误报样本库中每个样本进行比较,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值包括:
将所述恶意代码误报样本的源代码分别与误报样本库中每个样本的源代码进行比较,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值;或者
将所述恶意代码误报样本中的核心代码分别与误报样本库中每个样本中的核心代码进行比较,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值;或者
将所述恶意代码误报样本的源代码进行切片,以及将误报样本库中每个样本的源代码进行切片,通过消息摘要算法第五版MD5分别对所述恶意代码误报样本的切片与误报样本库中每个样本的对应切片进行计算,获取两个对应切片的MD5值,比较两个对应切片的MD5值之间的相似度,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值。
在基于上述方法的另一个实施例中,所述恶意代码误报的追踪方法还包括:根据新获取的恶意代码误报样本,对所述误报样本库进行更新。
在基于上述方法的另一个实施例中,在根据所述相似误报样本确定导致恶意代码误报的样本特征之后,所述恶意代码误报的追踪方法还包括:
将导致恶意代码误报的所述样本特征发送至QVM引擎;
所述QVM引擎根据导致恶意代码误报的所述样本特征,修改QVM引擎的黑名单中恶意代码样本的黑白属性,以及在QVM引擎的白名单中添加非恶意代码样本。
在基于上述方法的另一个实施例中,所述恶意代码误报样本由移动终端在发生恶意代码误报时提交;
在获取恶意代码误报样本之后,所述恶意代码误报的追踪方法还包括:
查找所述移动终端中与其提交恶意代码误报样本对应的其他版本样本;
对移动终端中所述恶意代码误报样本及其对应的其他版本样本进行筛选,确定提交恶意代码误报的第一样本集合;
将所述第一样本集合中每个样本与误报样本库中的样本进行相似度匹配,获取所述第一样本集合中每个样本的相似误报样本。
在基于上述方法的另一个实施例中,在反查周期内,查找所述移动终端中与其提交恶意代码误报样本对应的其他版本样本。
在基于上述方法的另一个实施例中,所述恶意代码误报样本由个人电脑在发生恶意代码误报时提交;
根据本发明实施例的另一个方面,提供一种恶意代码误报的追踪装置,包括:
获取单元,用于获取恶意代码误报样本;
匹配单元,用于将所述恶意代码误报样本与误报样本库中的样本进行相似度匹配,获取相似误报样本;
追踪单元,用于根据所述相似误报样本确定导致恶意代码误报的样本特征。
根据本发明实施例的一个方面,提供一种恶意代码误报的追踪系统,包括任一上述的恶意代码误报的追踪装置。
在本申请实施例中,先获取恶意代码误报样本;接着将恶意代码误报样本与误报样本库中的样本进行相似度匹配,获取相似误报样本;再接着根据相似误报样本确定导致恶意代码误报的样本特征。通过将获取的恶意代码误报样本与误报样本库中的样本进行相似度匹配,确定恶意代码误报样本的相似误报样本,进而确定导致恶意代码误报的样本特征,查明了导致恶意代码误报的原因。
另外,在确定导致恶意代码误报的样本特征之后,还将导致恶意代码误报的样本特征发送至QVM引擎;方便QVM引擎根据导致恶意代码误报的样本特征,修改QVM引擎的黑名单中恶意代码样本的黑白属性,以及在QVM引擎的白名单中添加非恶意代码样本,进而提高QVM引擎在后续恶意代码判断过程的效率和准确率,有效减少恶意代码误报对用户造成的困扰。
附图说明
构成说明书的一部分的附图描述了本发明的实施例,并且连同描述一起用于解释本发明的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本发明,其中:
图1为本发明一实施例中的恶意代码误报的追踪方法的流程图;
图2为图1实施例中形成误报样本库的流程图;
图3为本发明另一实施例中的恶意代码误报的追踪方法的流程图;
图4为本发明一实施例中的恶意代码误报的追踪装置的示意图;
图5为本发明另一实施例中的恶意代码误报的追踪装置的示意图;
图6为本发明又一实施例中的恶意代码误报的追踪装置的示意图;
图7为本发明一实施例中的恶意代码误报的追踪系统的示意图。
具体实施方式
现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的每个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1为本发明一实施例中的恶意代码误报的追踪方法的流程图。图1中恶意代码误报的追踪方法包括:
S102,获取恶意代码误报样本;
S104,将恶意代码误报样本与误报样本库中的样本进行相似度匹配,获取相似误报样本;
S106,根据相似误报样本确定导致恶意代码误报的样本特征。
恶意代码是指存放恶意代码的文件实体形态,其可以是独立的恶意代码载体文件,被感染型恶意代码感染后的文件对象,也可以是非文件载体恶意代码的文件镜像(包括但不限于引导性病毒的文件镜像、内存恶意代码的文件镜像、以及网络恶意代码的数据包文件)。本实施例中,恶意代码误报样本为客户端(计算机或移动终端)在接收到杀毒引擎(如360提供的QVM引擎)发送的恶意代码提醒之后,又获知该恶意代码提醒对应的文件实质上并非恶意代码时,客户端提供的与恶意代码提醒对应的文件。
本实施例中,可以通过客户端-服务器(Client-Server)架构来获取恶意代码误报样本。
本发明实施例中误报样本库中的样本都是根据已获取的恶意代码误报样本而形成的,因此,可将恶意代码误报样本与误报样本库中的样本进行相似度匹配。
在一个实施例中,图1中S104将所述恶意代码误报样本与误报样本库中的样本进行相似度匹配,获取相似误报样本可进一步包括:将所述恶意代码误报样本分别与误报样本库中每个样本进行比较,获取所述恶意代码误报样本与误报样本库中的每个样本的相似度值;判断每个所述相似度值是否大于相似度阈值;若大于,则将该相似度值对应的误报样本库中样本确定为相似误报样本。
本实施例中,将所述恶意代码误报样本分别与误报样本库中每个样本进行比较,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值可进一步包括:
将所述恶意代码误报样本的源代码分别与误报样本库中每个样本的源代码进行比较,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值;或者
将所述恶意代码误报样本中的核心代码分别与误报样本库中每个样本中的核心代码进行比较,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值;或者
将所述恶意代码误报样本的源代码进行切片,以及将误报样本库中每个样本的源代码进行切片,通过消息摘要算法第五版MD5分别对所述恶意代码误报样本的切片与误报样本库中每个样本的对应切片进行计算,获取两个对应切片的MD5值,比较两个对应切片的MD5值之间的相似度,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值。
本实施例中,通过先获取恶意代码误报样本;接着将恶意代码误报样本与误报样本库中的样本进行相似度匹配,获取相似误报样本;再接着根据相似误报样本确定导致恶意代码误报的样本特征。通过将获取的恶意代码误报样本与误报样本库中的样本进行相似度匹配,确定恶意代码误报样本的相似误报样本,进而确定导致恶意代码误报的样本特征,查明导致恶意代码误报的原因。
图2为图1实施例中形成误报样本库的流程图。图1实施例中S104的误报样本库可通过如下步骤形成:
S202,获取恶意代码误报的统计样本;
S204,根据恶意代码误报的统计样本,获取恶意代码误报样本及其对应的样本特征;
S206,将恶意代码误报样本及其对应的样本特征关联存储,形成误报样本库。
本实施例中,恶意代码误报的统计样本为从客户端收集的多个恶意代码误报样本。
为了提高误报样本库中样本的分散度,本实施例中S204可进一步包括:对恶意代码误报的统计样本进行样本筛选,确定恶意代码误报的学习样本;获取恶意代码误报的学习样本的样本特征;根据所获取的样本特征进行样本推演,获取与样本特征对应的恶意代码误报样本。
具体的,在获取恶意代码误报的学习样本的样本特征过程中,可以采用对PE(Portable Execute)结构分块或者采用N-gram算法统计特征,计算特征的信息增益,选择前N项作为样本特征。
由于近年来对软件加壳或保护日益盛行,获取基本的PE内部信息日益困难,为了有效还原恶意代码误报的学习样本的信息,在采用对PE结构分块获取样本特征时,对常见的壳可采用静态脱壳技术,对非常见的壳可采用虚拟机脱壳。
由于本发明实施例相似误报样本获取过程中,需将恶意代码误报样本与误报样本库中的样本进行相似度匹配,因此,这种方式下的误报样本库非常关键,需根据新的恶意代码误报样本的出现,不断地进行更新以及补充误报样本库中样本。为此,本实施例中恶意代码误报的追踪方法还包括:根据新获取的恶意代码误报样本,对误报样本库进行更新。即对新获取的恶意代码误报样本进行样本特征提取,并将新的恶意代码误报样本及其对应的样本特征关联存储于误报样本库中。
本实施例中误报样本库的更新及时,利于导致恶意代码误报的样本特征的快速确定,提高了查明导致恶意代码误报的原因的效率。
图3为本发明另一实施例中的恶意代码误报的追踪方法的流程图。图3中恶意代码误报的追踪方法包括:
S302,获取恶意代码误报样本;
S304,将恶意代码误报样本与误报样本库中的样本进行相似度匹配,获取相似误报样本;
S306,根据相似误报样本确定导致恶意代码误报的样本特征;
S308,将导致恶意代码误报的样本特征发送至QVM引擎。
与图1中恶意代码误报的追踪方法相比,图3中恶意代码误报的追踪方法将导致恶意代码误报的样本特征发送至QVM引擎,从而方便QVM引擎根据导致恶意代码误报的样本特征,修改QVM引擎的黑名单中恶意代码样本的黑白属性,以及在QVM引擎的白名单中添加非恶意代码样本。在确定导致恶意代码误报的样本特征之后,QVM引擎根据所获取的恶意代码误报的样本特征,修改QVM引擎的黑名单中恶意代码样本的黑白属性,更新其黑名单和白名单中的样本,进而提高QVM引擎在后续恶意代码判断过程的效率和准确率,提高QVM引擎的鲁棒性,有效减少恶意代码误报对用户造成的困扰。
在本发明恶意代码误报的追踪方法另一个实施例中,所述恶意代码误报样本由移动终端在发生恶意代码误报时提交。
此时,为了获知移动终端中恶意代码误报样本对应的其他样本是否出现恶意代码误报,以及出现恶意代码误报的版本,本实施例中恶意代码误报的追踪方法在获取恶意代码误报样本之后,还可包括:
查找所述移动终端中与其提交恶意代码误报样本对应的其他版本样本;
对移动终端中所述恶意代码误报样本及其对应的其他版本样本进行筛选,确定提交恶意代码误报的第一样本集合;
将所述第一样本集合中每个样本与误报样本库中的样本进行相似度匹配,获取所述第一样本集合中每个样本的相似误报样本。
进一步的,为了获知预定时间范围内,移动终端中提交的与恶意代码误报样本对应的其他样本是否出现恶意代码误报,以及出现恶意代码误报的版本,设定反查周期。本实施例中恶意代码误报的追踪方法仅仅在反查周期内,查找所述移动终端中与其提交恶意代码误报样本对应的其他版本样本。
在本发明恶意代码误报的追踪方法另一个实施例中,所述恶意代码误报样本由个人电脑在发生恶意代码误报时提交。
此时,为了获知个人电脑中恶意代码误报样本对应的其他样本是否出现恶意代码误报,以及出现恶意代码误报的版本,本实施例中恶意代码误报的追踪方法在获取恶意代码误报样本之后,还可包括:
查找所述个人电脑中与所述恶意代码误报样本对应的其他版本样本;
对个人电脑中所述恶意代码误报样本及其对应的其他版本样本进行筛选,确定提交恶意代码误报的第二样本集合;
将所述第二样本集合中每个样本与误报样本库中的样本进行相似度匹配,获取所述第二样本集合中每个样本相似误报样本。
由于个人电脑中包括的代码量很大,为了在大量代码中快速查找到个人电脑中与所述恶意代码误报样本对应的其他版本样本,在一个实施例中,通过DUP(duplicate缩写)语言查找所述个人电脑中与所述恶意代码误报样本对应的其他版本样本。其具体可通过个人电脑中已有的DUP架构实现。
下面根据本申请实施例,提供了一种恶意代码误报的追踪装置。
需要说明的是,本申请实施例的恶意代码误报的追踪装置可以用于执行本申请实施例的恶意代码误报的追踪方法,根据本申请实施例的恶意代码误报的追踪方法也可以通过本申请实施例的恶意代码误报的追踪装置来执行。
图4为本发明一实施例中的恶意代码误报的追踪装置的示意图。图4中恶意代码误报的追踪装置包括:
获取单元202,用于获取恶意代码误报样本;
匹配单元204,用于将恶意代码误报样本与误报样本库中的样本进行相似度匹配,获取相似误报样本;
追踪单元206,用于根据相似误报样本确定导致恶意代码误报的样本特征。
本实施例中,恶意代码误报样本为客户端(计算机或移动终端)在接收到杀毒引擎(如360提供的QVM引擎)发送的恶意代码提醒之后,又获知该恶意代码提醒对应的文件实质上并非恶意代码时,客户端提供的与恶意代码提醒对应的文件。
本实施例中,获取单元202可以通过客户端-服务器(Client-Server)架构来获取恶意代码误报样本。
由于误报样本库中的样本都是根据已获取的恶意代码误报样本而形成的,因此,可将恶意代码误报样本与误报样本库中的样本进行相似度匹配。
本实施例中,先通过获取单元202获取恶意代码误报样本;接着匹配单元204将恶意代码误报样本与误报样本库中的样本进行相似度匹配,获取相似误报样本;最后追踪单元206根据相似误报样本确定导致恶意代码误报的样本特征,查明导致恶意代码误报的原因。
图5为本发明另一实施例中的恶意代码误报的追踪装置的示意图。与图4相比,图5中恶意代码误报的追踪装置还包括:
误报样本库建立单元208,用于获取恶意代码误报的统计样本,并根据恶意代码误报的统计样本,获取恶意代码误报样本及其对应的样本特征,以及将恶意代码误报样本及其对应的样本特征关联存储,形成误报样本库;
误报样本库更新单元210,用于根据新获取的恶意代码误报样本,对误报样本库进行更新。
由于本发明实施例相似误报样本获取过程中,需将恶意代码误报样本与误报样本库中的样本进行相似度匹配,因此,这种方式下的误报样本库非常关键,需根据新的恶意代码误报样本的出现,不断地进行更新以及补充误报样本库中样本。本实施例通过在恶意代码误报的追踪中设置误报样本库更新单元210,以根据新获取的恶意代码误报样本对误报样本库进行更新。提高了更新误报样本库的及时性,利于导致恶意代码误报的样本特征的快速确定,提高了查明导致恶意代码误报的原因的效率。
为了提高误报样本库中样本的分散度,在基于上述装置的另一个实施例中,所述误报样本库建立单元包括:
样本获取单元,用于获取恶意代码误报的统计样本;
样本训练单元,与所述样本获取单元连接,用于根据所述恶意代码误报的统计样本,获取恶意代码误报样本及其对应的样本特征;
关联存储单元,用于将所述恶意代码误报样本及其对应的样本特征关联存储,形成误报样本库。
本实施例中,所述样本训练单元还可进一步包括:
样本筛选单元,用于对所述恶意代码误报的统计样本进行样本筛选,确定恶意代码误报的学习样本;
特征获取单元,用于获取所述恶意代码误报的学习样本的样本特征;
样本推演单元,用于根据所获取的样本特征进行样本推演,获取与所述样本特征对应的恶意代码误报样本。
本实施例中,先通过样本筛选单元对样本获取单元获取的恶意代码误报的统计样本进行样本筛选,确定恶意代码误报的学习样本;然后通过特征获取单元获取恶意代码误报的学习样本的样本特征;再通过样本推演单元根据所获取的样本特征进行样本推演,获取与样本特征对应的恶意代码误报样本,并存储于关联存储单元。从而提高误报样本库中样本的分散度,利于导致恶意代码误报的样本特征的快速确定,提高了查明导致恶意代码误报的原因的效率。
在本发明恶意代码误报的追踪装置的另一个实施例中,所述匹配单元还可进一步包括:
相似度值获取单元,用于将所述恶意代码误报样本分别与误报样本库中每个样本进行比较,获取所述恶意代码误报样本与误报样本库中的每个样本的相似度值;
相似度值判断单元,用于判断每个所述相似度值是否大于相似度阈值;
相似误报样本确定单元,用于在所述相似度值大于相似度阈值时,则将该相似度值对应的误报样本库中样本确定为相似误报样本。
本实施例中,所述相似度值获取单元在将所述恶意代码误报样本分别与误报样本库中每个样本进行比较,获取所述恶意代码误报样本与误报样本库中的每个样本的相似度值时,具体用于:
将所述恶意代码误报样本的源代码分别与误报样本库中每个样本的源代码进行比较,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值;或者
将所述恶意代码误报样本中的核心代码分别与误报样本库中每个样本中的核心代码进行比较,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值;或者
将所述恶意代码误报样本的源代码进行切片,以及将误报样本库中每个样本的源代码进行切片,通过消息摘要算法第五版MD5分别对所述恶意代码误报样本的切片与误报样本库中每个样本的对应切片进行计算,获取两个对应切片的MD5值,比较两个对应切片的MD5值之间的相似度,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值。
图6为本发明又一实施例中的恶意代码误报的追踪装置的示意图。与图4相比,图6中恶意代码误报的追踪装置还包括:
发送单元212,用于将导致恶意代码误报的样本特征发送至QVM引擎。
在确定导致恶意代码误报的样本特征之后,QVM引擎根据所获取的恶意代码误报的样本特征,修改QVM引擎的黑名单中恶意代码样本的黑白属性,更新其黑名单和白名单中的样本,进而提高QVM引擎在后续恶意代码判断过程的效率和准确率,提高QVM引擎的鲁棒性,有效减少恶意代码误报对用户造成的困扰。
图7为本发明一实施例中的恶意代码误报的追踪系统的示意图。图7中恶意代码误报的追踪系统除包括任一上述实施例中的恶意代码误报的追踪装置10外,还包括:
客户端20,用于在发生恶意代码误报时,向所述恶意代码误报的追踪装置提交所述恶意代码误报样本;
QVM引擎30,用于查找客户端中的恶意代码,并在查找到恶意代码时向所述客户端发送恶意代码提醒。
在本发明恶意代码误报的追踪系统的一个实施例中,所述QVM引擎进一步包括:
白名单数据库,用于存储非恶意代码样本;
黑名单数据库,用于存储恶意代码样本;
恶意代码查找单元,用于依据白名单数据库和所述黑名单数据库查找客户端中的恶意代码,并在查找到恶意代码时向所述客户端发送恶意代码提醒;
属性修改单元,用于根据根据导致恶意代码误报的所述样本特征,修改黑名单数据库中恶意代码样本的黑白属性,以及在白名单数据库中添加非恶意代码样本。
在本发明恶意代码误报的追踪系统的一个实施例中,所述客户端为移动终端。为了获知移动终端中恶意代码误报样本对应的其他样本是否出现恶意代码误报,以及出现恶意代码误报的版本,所述恶意代码误报的追踪装置还可进一步包括:
第一样本反查单元,用于查找所述移动终端中与其提交恶意代码误报样本对应的其他版本样本;
第一误报筛选单元,用于对移动终端中所述恶意代码误报样本及其对应的其他版本样本进行筛选,确定提交恶意代码误报的第一样本集合;
所述匹配单元还用于将所述第一样本集合中每个样本与误报样本库中的样本进行相似度匹配,获取所述第一样本集合中每个样本的相似误报样本。
在基于上述系统的另一个实施例中,所述恶意代码误报的追踪装置还包括:反查周期设定单元,用于设定所述第一样本反查单元查找所述移动终端中与其提交恶意代码误报样本对应的其他版本样本的反查周期。从而获知预定时间范围内,移动终端中提交的与恶意代码误报样本对应的其他样本是否出现恶意代码误报,以及出现恶意代码误报的版本。
在本发明恶意代码误报的追踪系统的一个实施例中,所述客户端为个人电脑。
为了获知个人电脑中恶意代码误报样本对应的其他样本是否出现恶意代码误报,以及出现恶意代码误报的版本,本实施例中所述个人电脑包括:第二样本反查单元,用于查找所述个人电脑中与所述恶意代码误报样本对应的其他版本样本。
本实施例中,所述恶意代码误报的追踪装置还包括:第二误报筛选单元,用于对个人电脑中所述恶意代码误报样本及其对应的其他版本样本进行筛选,确定提交恶意代码误报的第二样本集合。所述恶意代码误报的追踪装置中匹配单元还用于将所述第二样本集合中每个样本与误报样本库中的样本进行相似度匹配,获取所述第二样本集合中每个样本相似误报样本。
在基于上述系统的另一个实施例中,所述第二样本反查单元通过所述个人电脑中的DUP架构查找所述个人电脑中与所述恶意代码误报样本对应的其他版本样本。由于个人电脑中包括的代码量很大,而个人电脑中的DUP架构能够在大量代码中快速查找到个人电脑中与所述恶意代码误报样本对应的其他版本样本,提高了于个人电脑中查找与所述恶意代码误报样本对应的其他版本样本的效率,节约查找时间。
本发明实施例提供了如下技术方案:
1、一种恶意代码误报的追踪方法,包括:
获取恶意代码误报样本;
将所述恶意代码误报样本与误报样本库中的样本进行相似度匹配,获取相似误报样本;
根据所述相似误报样本确定导致恶意代码误报的样本特征。
2、根据1所述的恶意代码误报的追踪方法,形成所述误报样本库包括:
获取恶意代码误报的统计样本;
根据所述恶意代码误报的统计样本,获取恶意代码误报样本及其对应的样本特征;
将所述恶意代码误报样本及其对应的样本特征关联存储,形成误报样本库。
3、根据2所述的恶意代码误报的追踪方法,根据所述恶意代码误报的统计样本,获取恶意代码误报样本及其对应的样本特征包括:
对所述恶意代码误报的统计样本进行样本筛选,确定恶意代码误报的学习样本;
获取所述恶意代码误报的学习样本的样本特征;
根据所获取的样本特征进行样本推演,获取与所述样本特征对应的恶意代码误报样本。
4、根据1至3任一所述的恶意代码误报的追踪方法,将所述恶意代码误报样本与误报样本库中的样本进行相似度匹配,获取相似误报样本包括:
将所述恶意代码误报样本分别与误报样本库中每个样本进行比较,获取所述恶意代码误报样本与误报样本库中的每个样本的相似度值;
判断每个所述相似度值是否大于相似度阈值;
若大于,则将该相似度值对应的误报样本库中样本确定为相似误报样本。
5、根据4所述的恶意代码误报的追踪方法,将所述恶意代码误报样本分别与误报样本库中每个样本进行比较,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值包括:
将所述恶意代码误报样本的源代码分别与误报样本库中每个样本的源代码进行比较,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值;或者
将所述恶意代码误报样本中的核心代码分别与误报样本库中每个样本中的核心代码进行比较,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值;或者
将所述恶意代码误报样本的源代码进行切片,以及将误报样本库中每个样本的源代码进行切片,通过消息摘要算法第五版MD5分别对所述恶意代码误报样本的切片与误报样本库中每个样本的对应切片进行计算,获取两个对应切片的MD5值,比较两个对应切片的MD5值之间的相似度,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值。
6根据1至3任一所述的恶意代码误报的追踪方法,所述恶意代码误报的追踪方法还包括:
根据新获取的恶意代码误报样本,对所述误报样本库进行更新。
7、根据1所述的恶意代码误报的追踪方法,在根据所述相似误报样本确定导致恶意代码误报的样本特征之后,所述恶意代码误报的追踪方法还包括:
将导致恶意代码误报的所述样本特征发送至QVM引擎;
所述QVM引擎根据导致恶意代码误报的所述样本特征,修改QVM引擎的黑名单中恶意代码样本的黑白属性,以及在QVM引擎的白名单中添加非恶意代码样本。
8、根据1所述的恶意代码误报的追踪方法,所述恶意代码误报样本由移动终端在发生恶意代码误报时提交;
在获取恶意代码误报样本之后,所述恶意代码误报的追踪方法还包括:
查找所述移动终端中与其提交恶意代码误报样本对应的其他版本样本;
对移动终端中所述恶意代码误报样本及其对应的其他版本样本进行筛选,确定提交恶意代码误报的第一样本集合;
将所述第一样本集合中每个样本与误报样本库中的样本进行相似度匹配,获取所述第一样本集合中每个样本的相似误报样本。
9、根据8所述的恶意代码误报的追踪方法,
在反查周期内,查找所述移动终端中与其提交恶意代码误报样本对应的其他版本样本。
10、根据1所述的恶意代码误报的追踪方法,所述恶意代码误报样本由个人电脑在发生恶意代码误报时提交;
在获取恶意代码误报样本之后,所述恶意代码误报的追踪方法还包括:
查找所述个人电脑中与所述恶意代码误报样本对应的其他版本样本;
对个人电脑中所述恶意代码误报样本及其对应的其他版本样本进行筛选,确定提交恶意代码误报的第二样本集合;
将所述第二样本集合中每个样本与误报样本库中的样本进行相似度匹配,获取所述第二样本集合中每个样本相似误报样本。
11、根据10所述的恶意代码误报的追踪方法,通过DUP语言查找所述个人电脑中与所述恶意代码误报样本对应的其他版本样本。
12、一种恶意代码误报的追踪装置,包括:
获取单元,用于获取恶意代码误报样本;
匹配单元,用于将所述恶意代码误报样本与误报样本库中的样本进行相似度匹配,获取相似误报样本;
追踪单元,用于根据所述相似误报样本确定导致恶意代码误报的样本特征。
13、根据12所述的恶意代码误报的追踪装置,所述恶意代码误报的追踪装置还包括:
误报样本库建立单元,用于获取恶意代码误报的统计样本,并根据所述恶意代码误报的统计样本,获取恶意代码误报样本及其对应的样本特征,以及将所述恶意代码误报样本及其对应的样本特征关联存储,形成误报样本库。
14、根据13所述的恶意代码误报的追踪装置,所述误报样本库建立单元包括:
样本获取单元,用于获取恶意代码误报的统计样本;
样本训练单元,与所述样本获取单元连接,用于根据所述恶意代码误报的统计样本,获取恶意代码误报样本及其对应的样本特征;
关联存储单元,用于将所述恶意代码误报样本及其对应的样本特征关联存储,形成误报样本库。
15、根据14所述的恶意代码误报的追踪装置,所述样本训练单元包括:
样本筛选单元,用于对所述恶意代码误报的统计样本进行样本筛选,确定恶意代码误报的学习样本;
特征获取单元,用于获取所述恶意代码误报的学习样本的样本特征;
样本推演单元,用于根据所获取的样本特征进行样本推演,获取与所述样本特征对应的恶意代码误报样本。
16、根据12至15任一所述的恶意代码误报的追踪装置,所述匹配单元包括:
相似度值获取单元,用于将所述恶意代码误报样本分别与误报样本库中每个样本进行比较,获取所述恶意代码误报样本与误报样本库中的每个样本的相似度值;
相似度值判断单元,用于判断每个所述相似度值是否大于相似度阈值;
相似误报样本确定单元,用于在所述相似度值大于相似度阈值时,则将该相似度值对应的误报样本库中样本确定为相似误报样本。
17、根据16所述的恶意代码误报的追踪装置,所述相似度值获取单元在将所述恶意代码误报样本分别与误报样本库中每个样本进行比较,获取所述恶意代码误报样本与误报样本库中的每个样本的相似度值时,具体用于:
将所述恶意代码误报样本的源代码分别与误报样本库中每个样本的源代码进行比较,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值;或者
将所述恶意代码误报样本中的核心代码分别与误报样本库中每个样本中的核心代码进行比较,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值;或者
将所述恶意代码误报样本的源代码进行切片,以及将误报样本库中每个样本的源代码进行切片,通过消息摘要算法第五版MD5分别对所述恶意代码误报样本的切片与误报样本库中每个样本的对应切片进行计算,获取两个对应切片的MD5值,比较两个对应切片的MD5值之间的相似度,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值。
18、根据12至15任一所述的恶意代码误报的追踪装置,所述恶意代码误报的追踪装置还包括:
误报样本库更新单元,用于根据新获取的恶意代码误报样本,对所述误报样本库进行更新。
19、根据12所述的恶意代码误报的追踪装置,所述恶意代码误报的追踪装置还包括:
发送单元,用于将导致恶意代码误报的所述样本特征发送至QVM引擎;
所述QVM引擎根据导致恶意代码误报的所述样本特征,修改QVM引擎的黑名单中恶意代码样本的黑白属性,以及在QVM引擎的白名单中添加非恶意代码样本。
20、一种恶意代码误报的追踪系统,包括8至15任一所述的恶意代码误报的追踪装置。
21、根据20所述的恶意代码误报的追踪系统,所述恶意代码误报的追踪系统还包括:
客户端,用于在发生恶意代码误报时,向所述恶意代码误报的追踪装置提交所述恶意代码误报样本;
QVM引擎,用于查找客户端中的恶意代码,并在查找到恶意代码时向所述客户端发送恶意代码提醒。
22、根据21所述的恶意代码误报的追踪系统,所述QVM引擎包括:
白名单数据库,用于存储非恶意代码样本;
黑名单数据库,用于存储恶意代码样本;
恶意代码查找单元,用于依据白名单数据库和所述黑名单数据库查找客户端中的恶意代码,并在查找到恶意代码时向所述客户端发送恶意代码提醒;
属性修改单元,用于根据根据导致恶意代码误报的所述样本特征,修改黑名单数据库中恶意代码样本的黑白属性,以及在白名单数据库中添加非恶意代码样本。
23、根据20至22任一所述的恶意代码误报的追踪系统,所述客户端为移动终端。
24、根据23所述的恶意代码误报的追踪系统,所述恶意代码误报的追踪装置还包括:
第一样本反查单元,用于查找所述移动终端中与其提交恶意代码误报样本对应的其他版本样本;
第一误报筛选单元,用于对移动终端中所述恶意代码误报样本及其对应的其他版本样本进行筛选,确定提交恶意代码误报的第一样本集合;
所述匹配单元还用于将所述第一样本集合中每个样本与误报样本库中的样本进行相似度匹配,获取所述第一样本集合中每个样本的相似误报样本。
25、根据24所述的恶意代码误报的追踪系统,所述恶意代码误报的追踪装置还包括:
反查周期设定单元,用于设定所述第一样本反查单元查找所述移动终端中与其提交恶意代码误报样本对应的其他版本样本的反查周期。
26、根据20至22任一所述的恶意代码误报的追踪系统,所述客户端为个人电脑。
27、根据26所述的恶意代码误报的追踪系统,所述个人电脑包括:第二样本反查单元,用于查找所述个人电脑中与所述恶意代码误报样本对应的其他版本样本;
所述恶意代码误报的追踪装置还包括:第二误报筛选单元,用于对个人电脑中所述恶意代码误报样本及其对应的其他版本样本进行筛选,确定提交恶意代码误报的第二样本集合;
所述匹配单元还用于将所述第二样本集合中每个样本与误报样本库中的样本进行相似度匹配,获取所述第二样本集合中每个样本相似误报样本。
28、根据27所述的恶意代码误报的追踪系统,所述第二样本反查单元通过所述个人电脑中的DUP架构查找所述个人电脑中与所述恶意代码误报样本对应的其他版本样本。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
Claims (26)
1.一种恶意代码误报的追踪方法,其特征在于,包括:
获取恶意代码误报样本;
将所述恶意代码误报样本与误报样本库中的样本进行相似度匹配,获取相似误报样本;
根据所述相似误报样本确定导致恶意代码误报的样本特征;
形成所述误报样本库包括:
获取恶意代码误报的统计样本;根据所述恶意代码误报的统计样本,获取恶意代码误报样本及其对应的样本特征;将所述恶意代码误报样本及其对应的样本特征关联存储,形成误报样本库。
2.根据权利要求1所述的恶意代码误报的追踪方法,其特征在于,根据所述恶意代码误报的统计样本,获取恶意代码误报样本及其对应的样本特征包括:
对所述恶意代码误报的统计样本进行样本筛选,确定恶意代码误报的学习样本;
获取所述恶意代码误报的学习样本的样本特征;
根据所获取的样本特征进行样本推演,获取与所述样本特征对应的恶意代码误报样本。
3.根据权利要求1或2所述的恶意代码误报的追踪方法,其特征在于,将所述恶意代码误报样本与误报样本库中的样本进行相似度匹配,获取相似误报样本包括:
将所述恶意代码误报样本分别与误报样本库中每个样本进行比较,获取所述恶意代码误报样本与误报样本库中的每个样本的相似度值;
判断每个所述相似度值是否大于相似度阈值;
若大于,则将该相似度值对应的误报样本库中样本确定为相似误报样本。
4.根据权利要求3所述的恶意代码误报的追踪方法,其特征在于,将所述恶意代码误报样本分别与误报样本库中每个样本进行比较,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值包括:
将所述恶意代码误报样本的源代码分别与误报样本库中每个样本的源代码进行比较,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值;或者
将所述恶意代码误报样本中的核心代码分别与误报样本库中每个样本中的核心代码进行比较,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值;或者
将所述恶意代码误报样本的源代码进行切片,以及将误报样本库中每个样本的源代码进行切片,通过消息摘要算法第五版MD5分别对所述恶意代码误报样本的切片与误报样本库中每个样本的对应切片进行计算,获取两个对应切片的MD5值,比较两个对应切片的MD5值之间的相似度,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值。
5.根据权利要求1或2所述的恶意代码误报的追踪方法,其特征在于,所述恶意代码误报的追踪方法还包括:
根据新获取的恶意代码误报样本,对所述误报样本库进行更新。
6.根据权利要求1所述的恶意代码误报的追踪方法,其特征在于,在根据所述相似误报样本确定导致恶意代码误报的样本特征之后,所述恶意代码误报的追踪方法还包括:
将导致恶意代码误报的所述样本特征发送至QVM引擎;
所述QVM引擎根据导致恶意代码误报的所述样本特征,修改QVM引擎的黑名单中恶意代码样本的黑白属性,以及在QVM引擎的白名单中添加非恶意代码样本。
7.根据权利要求1所述的恶意代码误报的追踪方法,其特征在于,所述恶意代码误报样本由移动终端在发生恶意代码误报时提交;
在获取恶意代码误报样本之后,所述恶意代码误报的追踪方法还包括:
查找所述移动终端中与其提交恶意代码误报样本对应的其他版本样本;
对移动终端中所述恶意代码误报样本及其对应的其他版本样本进行筛选,确定提交恶意代码误报的第一样本集合;
将所述第一样本集合中每个样本与误报样本库中的样本进行相似度匹配,获取所述第一样本集合中每个样本的相似误报样本。
8.根据权利要求7所述的恶意代码误报的追踪方法,其特征在于,
在反查周期内,查找所述移动终端中与其提交恶意代码误报样本对应的其他版本样本。
9.根据权利要求1所述的恶意代码误报的追踪方法,其特征在于,所述恶意代码误报样本由个人电脑在发生恶意代码误报时提交;
在获取恶意代码误报样本之后,所述恶意代码误报的追踪方法还包括:
查找所述个人电脑中与所述恶意代码误报样本对应的其他版本样本;
对个人电脑中所述恶意代码误报样本及其对应的其他版本样本进行筛选,确定提交恶意代码误报的第二样本集合;
将所述第二样本集合中每个样本与误报样本库中的样本进行相似度匹配,获取所述第二样本集合中每个样本相似误报样本。
10.根据权利要求9所述的恶意代码误报的追踪方法,其特征在于,通过DUP语言查找所述个人电脑中与所述恶意代码误报样本对应的其他版本样本。
11.一种恶意代码误报的追踪装置,其特征在于,包括:
获取单元,用于获取恶意代码误报样本;
匹配单元,用于将所述恶意代码误报样本与误报样本库中的样本进行相似度匹配,获取相似误报样本;
追踪单元,用于根据所述相似误报样本确定导致恶意代码误报的样本特征;
所述恶意代码误报的追踪装置还包括:
误报样本库建立单元,用于获取恶意代码误报的统计样本,并根据所述恶意代码误报的统计样本,获取恶意代码误报样本及其对应的样本特征,以及将所述恶意代码误报样本及其对应的样本特征关联存储,形成误报样本库。
12.根据权利要求11所述的恶意代码误报的追踪装置,其特征在于,所述误报样本库建立单元包括:
样本获取单元,用于获取恶意代码误报的统计样本;
样本训练单元,与所述样本获取单元连接,用于根据所述恶意代码误报的统计样本,获取恶意代码误报样本及其对应的样本特征;
关联存储单元,用于将所述恶意代码误报样本及其对应的样本特征关联存储,形成误报样本库。
13.根据权利要求12所述的恶意代码误报的追踪装置,其特征在于,所述样本训练单元包括:
样本筛选单元,用于对所述恶意代码误报的统计样本进行样本筛选,确定恶意代码误报的学习样本;
特征获取单元,用于获取所述恶意代码误报的学习样本的样本特征;
样本推演单元,用于根据所获取的样本特征进行样本推演,获取与所述样本特征对应的恶意代码误报样本。
14.根据权利要求11至13任一所述的恶意代码误报的追踪装置,其特征在于,所述匹配单元包括:
相似度值获取单元,用于将所述恶意代码误报样本分别与误报样本库中每个样本进行比较,获取所述恶意代码误报样本与误报样本库中的每个样本的相似度值;
相似度值判断单元,用于判断每个所述相似度值是否大于相似度阈值;
相似误报样本确定单元,用于在所述相似度值大于相似度阈值时,则将该相似度值对应的误报样本库中样本确定为相似误报样本。
15.根据权利要求14所述的恶意代码误报的追踪装置,其特征在于,所述相似度值获取单元在将所述恶意代码误报样本分别与误报样本库中每个样本进行比较,获取所述恶意代码误报样本与误报样本库中的每个样本的相似度值时,具体用于:
将所述恶意代码误报样本的源代码分别与误报样本库中每个样本的源代码进行比较,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值;或者
将所述恶意代码误报样本中的核心代码分别与误报样本库中每个样本中的核心代码进行比较,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值;或者
将所述恶意代码误报样本的源代码进行切片,以及将误报样本库中每个样本的源代码进行切片,通过消息摘要算法第五版MD5分别对所述恶意代码误报样本的切片与误报样本库中每个样本的对应切片进行计算,获取两个对应切片的MD5值,比较两个对应切片的MD5值之间的相似度,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值。
16.根据权利要求11至13任一所述的恶意代码误报的追踪装置,其特征在于,所述恶意代码误报的追踪装置还包括:
误报样本库更新单元,用于根据新获取的恶意代码误报样本,对所述误报样本库进行更新。
17.根据权利要求11所述的恶意代码误报的追踪装置,其特征在于,所述恶意代码误报的追踪装置还包括:
发送单元,用于将导致恶意代码误报的所述样本特征发送至QVM引擎;
所述QVM引擎根据导致恶意代码误报的所述样本特征,修改QVM引擎的黑名单中恶意代码样本的黑白属性,以及在QVM引擎的白名单中添加非恶意代码样本。
18.一种恶意代码误报的追踪系统,其特征在于,包括权利要求11至17任一所述的恶意代码误报的追踪装置。
19.根据权利要求18所述的恶意代码误报的追踪系统,其特征在于,所述恶意代码误报的追踪系统还包括:
客户端,用于在发生恶意代码误报时,向所述恶意代码误报的追踪装置提交所述恶意代码误报样本;
QVM引擎,用于查找客户端中的恶意代码,并在查找到恶意代码时向所述客户端发送恶意代码提醒。
20.根据权利要求19所述的恶意代码误报的追踪系统,其特征在于,所述QVM引擎包括:
白名单数据库,用于存储非恶意代码样本;
黑名单数据库,用于存储恶意代码样本;
恶意代码查找单元,用于依据白名单数据库和所述黑名单数据库查找客户端中的恶意代码,并在查找到恶意代码时向所述客户端发送恶意代码提醒;
属性修改单元,用于根据导致恶意代码误报的所述样本特征,修改黑名单数据库中恶意代码样本的黑白属性,以及在白名单数据库中添加非恶意代码样本。
21.根据权利要求18至20任一所述的恶意代码误报的追踪系统,其特征在于,所述客户端为移动终端。
22.根据权利要求21所述的恶意代码误报的追踪系统,其特征在于,所述恶意代码误报的追踪装置还包括:
第一样本反查单元,用于查找所述移动终端中与其提交恶意代码误报样本对应的其他版本样本;
第一误报筛选单元,用于对移动终端中所述恶意代码误报样本及其对应的其他版本样本进行筛选,确定提交恶意代码误报的第一样本集合;
所述匹配单元还用于将所述第一样本集合中每个样本与误报样本库中的样本进行相似度匹配,获取所述第一样本集合中每个样本的相似误报样本。
23.根据权利要求22所述的恶意代码误报的追踪系统,其特征在于,所述恶意代码误报的追踪装置还包括:
反查周期设定单元,用于设定所述第一样本反查单元查找所述移动终端中与其提交恶意代码误报样本对应的其他版本样本的反查周期。
24.根据权利要求18至20任一所述的恶意代码误报的追踪系统,其特征在于,所述客户端为个人电脑。
25.根据权利要求24所述的恶意代码误报的追踪系统,其特征在于,所述个人电脑包括:第二样本反查单元,用于查找所述个人电脑中与所述恶意代码误报样本对应的其他版本样本;
所述恶意代码误报的追踪装置还包括:第二误报筛选单元,用于对个人电脑中所述恶意代码误报样本及其对应的其他版本样本进行筛选,确定提交恶意代码误报的第二样本集合;
所述匹配单元还用于将所述第二样本集合中每个样本与误报样本库中的样本进行相似度匹配,获取所述第二样本集合中每个样本相似误报样本。
26.根据权利要求25所述的恶意代码误报的追踪系统,其特征在于,所述第二样本反查单元通过所述个人电脑中的DUP架构查找所述个人电脑中与所述恶意代码误报样本对应的其他版本样本。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510860629.8A CN105468975B (zh) | 2015-11-30 | 2015-11-30 | 恶意代码误报的追踪方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510860629.8A CN105468975B (zh) | 2015-11-30 | 2015-11-30 | 恶意代码误报的追踪方法、装置及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105468975A CN105468975A (zh) | 2016-04-06 |
CN105468975B true CN105468975B (zh) | 2018-02-23 |
Family
ID=55606661
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510860629.8A Active CN105468975B (zh) | 2015-11-30 | 2015-11-30 | 恶意代码误报的追踪方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105468975B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105912935B (zh) * | 2016-05-03 | 2019-06-14 | 腾讯科技(深圳)有限公司 | 广告检测方法及广告检测装置 |
CN107563195A (zh) * | 2016-07-01 | 2018-01-09 | 中国电信股份有限公司 | 降低app重打包识别系统误报率的方法和装置 |
CN108062478B (zh) * | 2018-01-04 | 2021-04-02 | 北京理工大学 | 全局特征可视化与局部特征相结合的恶意代码分类方法 |
CN111177313A (zh) * | 2019-12-10 | 2020-05-19 | 同济大学 | 一种即时录入编程代码即时查找参考复用程序的搜索方法 |
CN112653660A (zh) * | 2020-09-02 | 2021-04-13 | 浙江德迅网络安全技术有限公司 | 一种Javascript在恶意网页异常检测方法 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7519998B2 (en) * | 2004-07-28 | 2009-04-14 | Los Alamos National Security, Llc | Detection of malicious computer executables |
US7640589B1 (en) * | 2009-06-19 | 2009-12-29 | Kaspersky Lab, Zao | Detection and minimization of false positives in anti-malware processing |
CN102955912B (zh) * | 2011-08-23 | 2013-11-20 | 腾讯科技(深圳)有限公司 | 一种程序恶意属性判别方法和服务器 |
CN104980407A (zh) * | 2014-04-11 | 2015-10-14 | 珠海市君天电子科技有限公司 | 误报检测方法和装置 |
-
2015
- 2015-11-30 CN CN201510860629.8A patent/CN105468975B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN105468975A (zh) | 2016-04-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105468975B (zh) | 恶意代码误报的追踪方法、装置及系统 | |
Zhang et al. | Classification of ransomware families with machine learning based onN-gram of opcodes | |
US11895136B2 (en) | Method and apparatus to detect non-human users on computer systems | |
Verma et al. | What's in a url: Fast feature extraction and malicious url detection | |
Alrabaee et al. | Oba2: An onion approach to binary code authorship attribution | |
Lin et al. | Identifying android malicious repackaged applications by thread-grained system call sequences | |
CN104598824B (zh) | 一种恶意程序检测方法及其装置 | |
US10152591B2 (en) | Protecting against malware variants using reconstructed code of malware | |
Nguyen et al. | An advanced computing approach for IoT-botnet detection in industrial Internet of Things | |
CN105138916B (zh) | 基于数据挖掘的多轨迹恶意程序特征检测方法 | |
Zhu et al. | Android malware detection based on multi-head squeeze-and-excitation residual network | |
CN110399720A (zh) | 一种文件检测的方法以及相关装置 | |
Imran et al. | Using hidden markov model for dynamic malware analysis: First impressions | |
Bidoki et al. | PbMMD: A novel policy based multi-process malware detection | |
Allix et al. | Machine learning-based malware detection for Android applications: History matters! | |
CN109413047B (zh) | 行为模拟的判定方法、系统、服务器及存储介质 | |
Huang et al. | Open source intelligence for malicious behavior discovery and interpretation | |
Barlow et al. | A novel approach to detect phishing attacks using binary visualisation and machine learning | |
Wang et al. | Using API sequence and Bayes algorithm to detect suspicious behavior | |
Liu et al. | MG-DVD: A real-time framework for malware variant detection based on dynamic heterogeneous graph learning | |
Camiña et al. | Towards building a masquerade detection method based on user file system navigation | |
Shang et al. | A framework to construct knowledge base for cyber security | |
CN106874762B (zh) | 基于api依赖关系图的安卓恶意代码检测方法 | |
Liu et al. | Fewm-hgcl: Few-shot malware variants detection via heterogeneous graph contrastive learning | |
Bai et al. | Approach for malware identification using dynamic behaviour and outcome triggering |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20220728 Address after: Room 801, 8th floor, No. 104, floors 1-19, building 2, yard 6, Jiuxianqiao Road, Chaoyang District, Beijing 100015 Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Qizhi software (Beijing) Co.,Ltd. |