计算机病毒类型确定方法及其系统技术方案

本申请公开了一种计算机病毒类型确定方法及其系统，其中该方法包括：对于已确定类型的计算机病毒文件样本，分别生成反映每一类型计算机病毒特征的病毒特征字符串；将待确定类型计算机病毒中包含的字符串数据分别与每一类型计算机病毒的病毒特征字符串进行比对，若完全匹配或匹配率大于第一预设阈值，则根据相匹配的病毒特征字符串对应的计算机病毒类型确定待确定类型计算机病毒的类型。通过本申请实现了自动对计算机病毒样本进行类型确定及命名，所命名的病毒名称反映该病毒的特征属性，并且命名规则统一，提高了命名的准确性。

【技术实现步骤摘要】
计算机病毒类型确定方法及其系统
本申请涉及计算机病毒自动命名
，尤其涉及一种计算机病毒类型确定方法及其系统。
技术介绍
计算机病毒的分析过程一般来说分下面几步：首先，通过各种途径（如用户上报）收集到可疑的计算机病毒样本。接着，判断这些计算机病毒样本是否是真正的计算机病毒，可以是人工分析的方法，通过动态静态分析等方法来完成，也可以用自动的程序来完成，完成本步骤后就能够确定哪些样本是真实的计算机病毒。然后，确定这些病毒具体属于哪一种计算机病毒，并给计算机病毒命名。最后，将命名好的计算机病毒，添加到病库中。完成上述工作后，杀毒引擎就可以通过加载新的病毒库，进行新的病毒的查杀操作。计算机病毒的命名，对于相关技术的研究，分享，计算机病毒的分类，及特定计算机病毒的发展局势的预测，都具有重要的作用。计算机病毒的人工分析阶段，病毒的命名主要依靠病毒分析人员的经验，由于分析人员个人的命名标准差别，以及分析人员个人经验的差别，在病毒的命名过程中存在着大量不一致，甚至是错误的情况。发展到计算机病毒自动处理阶段，计算机病毒的命名更多的采用分配一个随机数编码，作为唯一性的标志。但是通过一个随机的编码，无法反应计算机病毒的类型，更无法反映各计算机病毒间的变种关系。综上所述，针对现有技术中的缺少对已经确定是计算机病毒的恶意程序进行准确命名的技术方案，有必要提出改进的技术手段解决上述问题。
技术实现思路
本申请的主要目的在于提供一种计算机病毒类型确定方法及其系统，以解决现有技术存在的缺少有效确定计算机病毒类型的技术方案的问题，其中：根据本申请实施例的计算机病毒类型确定方法包括：对于已确定类型的计算机病毒文件样本，分别生成反映每一类型计算机病毒特征的病毒特征字符串；将待确定类型计算机病毒中包含的字符串数据分别与每一类型计算机病毒的病毒特征字符串进行比对，若完全匹配或匹配率大于第一预设阈值，则根据相匹配的病毒特征字符串对应的计算机病毒类型确定待确定类型计算机病毒的类型。根据本申请实施例的计算机病毒类型确定系统包括：样本学习模块，用于对于已确定类型的计算机病毒文件样本，分别生成反映每一类型计算机病毒特征的病毒特征字符串；样本命名识别模块，用于将待确定类型计算机病毒中包含的字符串数据分别与每一类型计算机病毒的病毒特征字符串进行比对，若完全匹配或匹配率大于第一预设阈值，则根据相匹配的病毒特征字符串对应的计算机病毒类型确定待确定类型计算机病毒的类型。根据本申请的技术方案，通过样本学习过程生成反映每一类型计算机病毒特征的病毒特征字符串，将待确定类型计算机病毒中包含的字符串数据分别与每一类型计算机病毒对应的病毒特征字符串进行比对，若完全匹配或匹配率大于阈值，则根据相匹配的病毒特征字符串对应的计算机病毒类型确定待确定类型计算机病毒的类型。本申请实现了自动对计算机病毒样本进行类型确定及命名，所命名的病毒名称反映该病毒的特征属性，并且命名规则统一，提高了命名的准确性。附图说明此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：图1是根据本申请实施例的计算机病毒类型确定方法的流程图；图2是根据本申请实施例的步骤S102的流程图；图3是根据本申请一个实施例的计算机病毒类型确定系统的结构框图；图4是根据本申请另一实施例的计算机病毒类型确定系统的结构框图；图5是根据本申请再一实施例的计算机病毒类型确定系统的结构框图。具体实施方式本申请的主要思想在于，通过样本学习过程生成反映每一类型计算机病毒特征的病毒特征字符串，将待确定类型计算机病毒样本中包含的字符串数据分别与每一类型计算机病毒对应的病毒特征字符串进行比对，若完全匹配或匹配率大于阈值，则根据相匹配的病毒特征字符串对应的计算机病毒类型确定待确定类型计算机病毒的类型，并对待确定类型计算机病毒进行命名。为使本申请的目的、技术方案和优点更加清楚，以下结合附图及具体实施例，对本申请作进一步地详细说明。根据本申请的实施例，提供了一种计算机病毒类型确定方法。图1是根据本申请实施例的计算机病毒类型确定方法的流程图，如图1所示，该方法包括（步骤S102-S104）：步骤S102，对于已确定类型的计算机病毒文件样本，分别生成反映每一类型计算机病毒特征的病毒特征字符串。下面参考图2并结合实例详细描述步骤S102的具体处理过程。参考图2，步骤S102具体包括（步骤S202-S208）：步骤S202，建立已确定类型的计算机病毒样本文件集合和正常可执行计算机程序文件样本集合。收集大量已知、且命名正确的计算机病毒文件样本，建立病毒文件样本集合A{a1、a2、....an}；同时收集大量确认为非计算机病毒的正常可执行计算机程序文件样本，建立非病毒文件样本集合B{b1、b2....bm}。例如：A集合包括以下病毒文件样本，A={virus_1，virus_2，virus_3}，其中virus_1中包含了病毒文件的二进制信息和对应的病毒名称（Trojan.zhengtu.az）信息，A集合中的其他元素同样保存类似信息。B集合包含以下正常文件样本，B={no_virus_1，no_virus_2，no_virus_3}，其中no_virus_1中，保存的是这个正常文件的二进制文件内容。步骤S204，根据预定规则从已确定类型的计算机病毒文件样本集合中提取字符串数据建立第一数据集合、并从正常可执行计算机程序文件样本集合中提取字符串数据建立第二数据集合。分别从步骤S202中建立的两个文件样本集合A和B的二进制文件中提取字符串数据。在本申请中，对字符串定义为对于字母文字，超过两个字符的字母组合即认定为字符串；对于汉字等多字节文字，认为只要是多2个连续字节可以拼成一个以上字符的认为是字符串数据。将提取出来的字符串数据，以不同的二进制文件为单位分别保存。将由A病毒文件样本集合生成的字符串文件集合命名为第一数据集合C{c1、c2.....cn}；将由B非病毒文件样本集合生成的字符串文件集合命名为第二数据集合D{d1、d2......dm}。例如：从virus_1病毒文件样本中提取出[“CreateFile”，“password-file”，“zhengtu.exe”]等一系列字符串数据，并将这些字符串数据以及这个病毒样本的类型（名称），作为C集合（即第一数据集合）的一个元素被保存起来。从正常程序样本no_virus_1中提取出[“CreateFile”，“ReadFile”，“programFile”]等一些列字符串数据，并将这些字符串数据作为D集合（即第二数据集合）中的一个元素保存起来。从正常程序样本no_virus_2中提取出[“CreateProsess”，“SendMessage”，“CloseProcess”，“CreateFile”]等一些列字符串数据，并将这些字符串数据作为D集合中的另一个元素保存起来。另外，还需要将集合D中各文件中保存的字符串数据进行去重处理，并将去重后的字符串整合到一个单一的文件e中。这样，第二数据集合就成为一个单一的文件。例如：对no_virus_1和no_virus_2两个正常文件所提取出的字符串去重后的结果是[“本文档来自技高网...

【技术保护点】
一种计算机病毒类型确定方法，其特征在于，包括：对于已确定类型的计算机病毒文件样本，分别生成反映每一类型计算机病毒特征的病毒特征字符串；将待确定类型计算机病毒中包含的字符串数据分别与每一类型计算机病毒的病毒特征字符串进行比对，若完全匹配或匹配率大于第一预设阈值，则根据相匹配的病毒特征字符串对应的计算机病毒类型确定待确定类型计算机病毒的类型。

【技术特征摘要】
1.一种计算机病毒类型确定方法，其特征在于，包括：对于已确定类型的计算机病毒文件样本，分别生成反映每一类型计算机病毒特征的病毒特征字符串；将待确定类型计算机病毒中包含的字符串数据分别与每一类型计算机病毒的病毒特征字符串进行比对，若完全匹配或匹配率大于第一预设阈值，则根据相匹配的病毒特征字符串对应的计算机病毒类型确定待确定类型计算机病毒的类型。2.根据权利要求1所述的方法，其特征在于，所述分别生成反映每一类型计算机病毒的病毒特征字符串的步骤，包括：建立已确定类型的计算机病毒文件样本集合和正常可执行计算机程序文件样本集合；根据预定规则从所述已确定类型的计算机病毒文件样本集合中提取字符串数据建立第一数据集合、并从所述正常可执行计算机程序文件样本集合中提取字符串数据建立第二数据集合；将所述第一数据集合与所述第二数据集合进行比较，将在所述第一数据集合中出现、且在所述第二数据集合中没有出现的字符串建立第三数据集合；根据所述第三数据集合分别计算每一类型计算机病毒的字符串数据在该类型计算机病毒样本总数中的出现概率，并将出现概率由高到低的多个字符串设置为该类型计算机病毒对应的病毒特征字符串。3.根据权利要求2所述的方法，其特征在于，还包括：每一类型计算机病毒对应的病毒特征字符串中的字符串数据在其他类型计算机病毒对应的病毒特征字符串中的出现概率小于第二预设阈值。4.根据权利要求2所述的方法，其特征在于，还包括：若某一类型计算机病毒对应的病毒特征字符串中的字符串数据小于或等于1个，则上报系统交由人工处理。5.根据权利要求1所述的方法，其特征在于，在所述将待确定类型计算机病毒中包含的字符串数据分别与每一类型计算机病毒的病毒特征字符串进行比对的步骤之前，所述方法还包括：根据预定规则提取所述待确定类型计算机病毒中包含的字符串数据。6.根据权利要求1所述的方法，其特征在于，所述根据相匹配的病毒特征字符串对应的计算机病毒类型确定待确定类型计算机病毒的类型的步骤，还包括：根据当前计算机病毒中变种的数量对其变种版本号进行分配。7.根据权利要求1所述的方法，其特征在于，若匹配结果为匹配率小于或等于第一预设阈值，则所述方法还包括：提供所述待确定类型计算机病毒中包含的字符串数据以及匹配结果。8.根据权利要求1所述的方法，其特征在于，还包括：将确定类型的计算机病毒加入到已确定类型的计算机病毒样本中。9.根据权利要求1所述的方法，其特征在于，还包括：使用杀毒引擎对确定类型的计算机病毒进行查杀毒处理，得到该计算机病毒的新名称；根据所述新名称对所述计算机病毒的命名进行修正；将修正后的计算机病毒样本、病毒名称信息重新加入到已确定名称的计算机病毒样本中。10.一种计算机病毒类型确定系统，其特征在于，包括：样本学习模块(10)，用...

【专利技术属性】
技术研发人员：安丙春，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛;KY