本发明专利技术公开了一种自学习的文件鉴定方法及系统,鉴定方法包括以下步骤:(1)在服务器端建立可动态更新的白素材库、黑素材库;(2)将客户端的新样本进行素材提取并上传至服务器端;(3)服务器端的鉴定器对新样本进行鉴定;(4)将新样本的鉴定结果返回客户端;(5)根据新样本的鉴定结果更新所述白素材库、黑素材库;还包括更新所述鉴定器的步骤。本发明专利技术通过一训练器及鉴定器自动更新模块,可以以白素材库、黑素材库中的白素材、黑素材信息为知识源,以自学习的方式得知各类白文件、黑文件的特征信息及变化规律,以此再自动地更新鉴定器,从而使得鉴定器不断进步,完善了现有的文件鉴定系统的功能。
【技术实现步骤摘要】
本专利技术涉及计算机安全防护
,具体涉及对未知文件进行鉴定以判断是否为病毒的方法及系统。
技术介绍
目前,计算机及其软件技术有着快速的发展,随之而来的还有病毒的出现。我们知道,计算机病毒是人为的特制程序代码,其具有自我复制能力,很强的感染性,一定的潜伏性,特定的触发性和很大的破坏性。鉴于病毒的危害,传统的的病毒检测方法为特征码匹配的方法:主要是在用户端计算机建立病毒库,从病毒库中先取出一个病毒的特征码及其偏移量,再按照偏移量提取被检测文件的特征码,与该病毒的特征码进行比对,如果匹配则判定该文件为该类病毒文件,否则从病毒库中取下一个病毒的特征码,直至所有病毒比对完毕,则判断该文件安全。传统的特征码鉴定有几个缺点:1.本地必须有杀毒软件的特征库,判断的准确性取决于特征库是否全面,是否升级;2.特征库需要频繁升级,过期的病毒库鉴定能力无法满足安全需求;3.病毒种类增长很快,本地特征库也在迅速膨胀,使得杀毒软件的扫描效率下降,杀毒软件对系统资源的需求也在不断增大;4.对新病毒没有鉴定能力。为了解决传统技术的上述缺陷,最新采用了“云查杀”技术,简单的讲,就是用户端不再建立病毒库,而是主要负责扫描和发现本地的新文件,并提取新文件的一部分特征信息,上传至云端(服务器端),通过服务器端进行判毒,然后返回结果。云端设有多款鉴定器,有启发式的,也有行为判定的,还有其它的专门针对某些病毒的鉴定器,用各种不同的方式去鉴定一个样本的安全性,然后通过加权或者其它的算法给出一个总评,来最终判断文件的安全性。可知,鉴定器的效率及准确性成为了关键,而且这些鉴定器是在每天更新。因为每天都有新的病毒的形式,拿昨天没有修改过的鉴定器可能就鉴定不出今天的病毒,也是完全有可能的。然而,现有技术中,对鉴定器的修改和更新是人为完成的,主要是病毒鉴定师通过每天的回扫和人工鉴定,对一些鉴定器给出的结果做出调整,从而使得查杀率每天都能进步。这样,病毒鉴定师的工作量就会增加很多,所以有必要进一步改进或完善现有文件鉴定系统。
技术实现思路
本专利技术的目的是提供一种自学习的文件鉴定方法及系统,能够自动地更新和修改鉴定器,减小病毒鉴定师的认为工作量,完善现有文件鉴定系统的功能。实现上述目的的技术方案如下:一种自学习的文件鉴定方法,包括以下步骤:(1)在服务器端建立可动态更新的白素材库、黑素材库;(2)将客户端的新样本进行素材提取并上传至服务器端;(3)服务器端的鉴定器对新样本进行鉴定;(4)将新样本的鉴定结果返回客户端;(5)根据新样本的鉴定结果更新所述白素材库、黑素材库;其特征在于:还包括更新所述鉴定器的步骤,该步骤包括:a.抽取所述白素材库、黑素材库中的素材;b.总结某类白文件的特征及某类黑文件的特征;c.提取总结结果中可被利用的鉴定规则信息,并提供给鉴定器;d.根据所述鉴定规则信息自动更新所述鉴定器。作为具体的技术方案,所述步骤b中总结白文件的特征或黑文件的特征时,先对白文件素材及黑文件素材进行细化分类,根据细化分类的类别分别进行特征总结。作为具体的技术方案,所述步骤b中是通过对同一细化分类下的素材彼此进行比对,总结某类白文件的特征或某类黑文件的特征。作为具体的技术方案,所述步骤c中所述的可被利用的鉴定规则信息包括:黑文件某时间段出现的频率、黑文件变化的趋势。作为具体的技术方案,所述步骤c中所述的可被利用的鉴定规则信息包括:白文件的来源、白文件被错判的频率。一种自学习的文件鉴定系统,其特征在于,包括:客户端新样本扫描模块,用于发现及定位客户端新出现的文件;新样本素材提取模块,用于提取新样本的素材并上传至服务器端;新样本素材接收模块,用于在服务器端接收所述新样本的素材;鉴定器,鉴定新样本素材,输出鉴定结果;素材库管理模块,根据鉴定器输出的鉴定结果更新白素材库、黑素材库;白素材库、黑素材库,用于白素材、黑素材信息;其特征在于,还包括:训练器,根据所述白素材库、黑素材库中的素材,获取可被利用的鉴定规则信息,并提供给鉴定器;及鉴定器自动更新模块,用于根据所述鉴定规则信息自动更新所述鉴定器。作为进一步的技术方案,所述训练器包括:白、黑素材提取模块,用于抽取所述白素材库、黑素材库中的素材;分类模块,用于对所抽取的素材进行细化分类;比对分析模块,用于对同一细化分类下的素材彼此进行比对,总结某类白文件的特征或某类黑文件的特征;鉴定规则信息生成模块,用于根据所述某类白文件的特征或某类黑文件的特征,生成鉴定规则信息。本专利技术的有益效果在于:通过设置一训练器及鉴定器自动更新模块,可以以白素材库、黑素材库中的白素材、黑素材信息为知识源,以自学习的方式得知各类白文件、黑文件的特征信息及变化规律,以此再自动地更新鉴定器,从而使得鉴定器不断进步,完善了现有的文件鉴定系统的功能。附图说明图1为实施例提供的自学习的文件鉴定系统的主体构成框图。图2为实施例提供的自学习的文件鉴定系统中训练器的具体构成图。图3为实施例提供的自学习的文件鉴定方法的主流程图。图4为实施例提供的自学习的文件鉴定方法中更新鉴定器的子流程图。具体实施方式结合图1所示,本实施例提供的自学习的文件鉴定系统包括:客户端的新样本扫描模块、新样本素材提取模块,网络,及服务器端的鉴定器、素材库管理模块、白素材库、黑素材库、训练器、鉴定器自动更新模块。其中,新样本扫描模块用于发现及定位客户端新出现的文件;新样本素材提取模块用于提取新样本的素材并上传至服务器端;新样本素材接收模块用于在服务器端接收所述新样本的素材;鉴定器用于鉴定新样本素材,输出鉴定结果;素材库管理模块用于根据鉴定器输出的鉴定结果更新白素材库、黑素材库;白素材库、黑素材库,用于白素材、黑素材信息;训练器用于根据所述白素材库、黑素材库中的素材,获取可被利用的鉴定规则信息,并提供给鉴定器;鉴定器自动更新模块用于根据所述鉴定规则信息自动更新所述鉴定器。如图2所示,训练器具体包括白、黑素材提取模块、分类模块、比对分析模块及鉴定规则信息生成模块。其中,白、黑素材提取模块用于抽取所述白素材库、黑素材库中的素材;分类模块用于对所抽取的素材进行细化分类;比对分析模块用于对同一细化分类下的素材彼此进行比对,总结某类白文件的特征或某类黑文件的特征;鉴定规则信息生成模块用于根据所述某类白文件的特征或某类黑文件的特征,生成鉴定规则信息。如图3所示,本文档来自技高网...
【技术保护点】
一种自学习的文件鉴定方法,包括以下步骤:(1)在服务器端建立可动态更新的白素材库、黑素材库;(2)将客户端的新样本进行素材提取并上传至服务器端;(3)服务器端的鉴定器对新样本进行鉴定;(4)将新样本的鉴定结果返回客户端;(5)根据新样本的鉴定结果更新所述白素材库、黑素材库;其特征在于:还包括更新所述鉴定器的步骤,该步骤包括:a.抽取所述白素材库、黑素材库中的素材;b.总结某类白文件的特征及某类黑文件的特征;c.提取总结结果中可被利用的鉴定规则信息,并提供给鉴定器;d.根据所述鉴定规则信息自动更新所述鉴定器。
【技术特征摘要】
1.一种自学习的文件鉴定方法,包括以下步骤:
(1)在服务器端建立可动态更新的白素材库、黑素材库;
(2)将客户端的新样本进行素材提取并上传至服务器端;
(3)服务器端的鉴定器对新样本进行鉴定;
(4)将新样本的鉴定结果返回客户端;
(5)根据新样本的鉴定结果更新所述白素材库、黑素材库;
其特征在于:还包括更新所述鉴定器的步骤,该步骤包括:a.抽取所述白
素材库、黑素材库中的素材;b.总结某类白文件的特征及某类黑文件的特征;
c.提取总结结果中可被利用的鉴定规则信息,并提供给鉴定器;d.根据所述鉴
定规则信息自动更新所述鉴定器。
2.根据权利要求1所述的自学习的文件鉴定方法,其特征在于:所述步骤b中
总结白文件的特征或黑文件的特征时,先对白文件素材及黑文件素材进行细化
分类,根据细化分类的类别分别进行特征总结。
3.根据权利要求2所述的自学习的文件鉴定方法,其特征在于:所述步骤b中
是通过对同一细化分类下的素材彼此进行比对,总结某类白文件的特征或某类
黑文件的特征。
4.根据权利要求1所述的自学习的文件鉴定方法,其特征在于:所述步骤c中
所述的可被利用的鉴定规则信息包括:黑文件某时间段出现的频率、黑文件变
化的趋势。
5.根据权利要...
【专利技术属性】
技术研发人员:陈章群,赵闽,王鑫,傅盛,
申请(专利权)人:珠海市君天电子科技有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。