[发明专利]一种选取样本的方法和装置

说明书

技术领域

本发明实施例涉及病毒处理的技术领域，特别是涉及一种选取样本的方法。

背景技术

当今，随着互联网的发展，网络安全越来越受到重视。其中，像杀毒软件之类的产品已经与我们的生活密不可分。

而对于制作此类产品的网络安全公司来说，各类病毒样本与非病毒样本的采集是一个非常重要的问题。样本是疑似病毒或者可能携带病毒的文件。

以2012年1月的数据来看，在中国互联网，平均每天产生的新病毒样本超过100万个，即每秒超过12个；而新样本（样本指可能被病毒感染而变成带毒样本的程序。普通的文件类型，不在这个统计范围之内）产生的速度是病毒样本是4倍。全部收集这类文件，以目前计算机行业的发展来看，是无法实现的，也是没有必要的。所以，一般的安全公司会采用以下几种方法对样本进行的鉴别，是否需要采集：

1、在客户端内置鉴别程序，用来鉴别样本是否需要采集。

2、检测程序的大小，对于固定大小的程序，进行采集。

3、利用云计算技术，动态鉴别程序是否需要采集。

对于第一种方法，由于鉴别程序的代码内嵌在客户端，很容易被病毒作者获得，因此病毒可以通过其他方式绕过固定的鉴定逻辑，不易发现。

第二种方法针对的是病毒的传播特性。由于病毒本身需要进行快速的传播，所以在早期，病毒自身都很小，利用这一特性，收集那些大小在一个固定阈值之下的病毒，是一个很快的策略。但随着计算机存储与网络带宽的发展，病毒对于自身的大小不再需要像早期那么敏感，因此这一策略的效果也会越来越差。

第三种方法在云计算流行后开始出现，由于鉴定逻辑处于云端，所以病毒需要更多的尝试，才有可能绕过鉴定逻辑。但这种方式，也只是将原有位于用户电脑上的病毒攻防的过程，扩展到了云端，仅仅是加大了病毒制作的难度。

因此，本领域技术人员迫切需要解决的问题是：提供一种选取样本的方法和装置，以及一种选取样本的系统；用以有效的针对用户所使用的程序进行鉴定，提高样本采集的精确性和针对性，并且能够增强对病毒本身采取的各类绕过上传鉴定的方法的抵制效果。

发明内容

本发明实施例所要解决的技术问题是提供一种选取样本的方法，用以有效的针对用户所使用的程序进行鉴定，提高样本采集的精确性和针对性，并且能够增强对病毒本身采取的各类绕过上传鉴定的方法的抵制效果。

相应的，本发明实施例还提供了一种选取样本的装置，和一种选取样本的系统，用以保障上述方法在实际中的应用。

为了解决上述问题，本发明实施例公开了一种选取样本的方法，具体可以包括：

在客户端的程序中选取符合预置的程序筛选条件的程序作为样本；

根据预置评分规则对所述样本评分，获得样本分数；

将所述样本分数与预置的上传阈值比较，所述样本分数超过所述上传阈值的样本选定为目标样本；

将目标样本上传到服务器端进行扫描，保存扫描结果。

优选的是，所述的方法，还可以包括：

客户端定期接收所述目标样本的扫描结果，若所述目标样本为病毒或非病毒样本，则判定所述样本为有效样本；若未检测出所述样本为病毒或非病毒样本，则判定所述样本为无效样本。

优选的是，所述的方法，还可以包括：

对预置评分规则进行随机干扰，结合磁盘剩余空间和带宽的流量，生成新评分值；

对预置的评分规则进行关联分析，获取评分规则的权重；

根据所述新评分值和权重调整预置的评分规则。

优选的是，所述预置的程序筛选条件可以包括至少一项评定项；所述客户端在用户计算机的程序中选取符合预置的程序筛选条件的程序作为样本的步骤可以包括：

将所述预置的程序筛选条件中的各评定项与用户计算机中程序逐一进行对比，获取符合任一评定项的程序生成目标程序；

所述目标程序通过摘要算法生成样本。

优选的是，所述预置的评分规则可以包括至少一项单项规则，所述单项规则包括对应分值；所述根据预置评分规则对所述样本评分，获得样本分数的步骤可以包括：

根据所述当前评分规则中单项规则的对应分值，对所述样本进行评分；

汇总所述样本对应单项规则的评分结果，算出样本分数。

优选的是，所述对预置的评分规则进行关联分析，获取评分规则的权重的步骤权重可以包括：

将所述有效样本所触发的单项规则的次数，记为有效次数；

将所述无效样本所触发的单项规则的次数，记为无效次数；