[发明专利]文件样本的扫描方法和系统

权利要求书

1.一种文件样本的扫描方法，所述方法包括：

对于文件样本中的灰文件样本，根据预设的策略从存储的灰文件样本中选取待扫描的灰文件样本；

根据各个鉴定器的更新记录和/或鉴定器的扫描记录选取用于扫描灰文件样本的鉴定器；

使用所选取的鉴定器扫描待扫描的灰文件样本，并存储扫描结果，以在接收到查询文件样本是否安全的请求时，返回扫描结果；

所述灰文件样本为安全性未知的文件样本。

2.根据权利要求1所述的方法，其中，

所述根据预设的策略从存储的灰文件样本中选取待扫描的灰文件样本具体包括：

根据灰文件样本的属性得出灰文件样本的漏报率，根据漏报率从存储的灰文件样本中选取待扫描的灰文件样本。

3.根据权利要求1或2所述的方法，其中，

所述方法还包括：

对于文件样本中的危险文件样本，确定报告危险文件样本为病毒文件的鉴定器，所述危险文件样本为被鉴定器报告为病毒文件的文件样本；

使用报告危险文件样本为病毒文件的鉴定器重新扫描危险文件样本，如果扫描结果为该危险文件样本不再为病毒文件，则确定该危险文件样本为被误报为病毒文件的文件样本，对该危险文件样本进行去误报操作。

4.根据权利要求3所述的方法，其中，

所述确定报告危险文件样本为病毒文件的鉴定器后还包括：

根据确定的鉴定器得出危险文件样本的误报率，建立鉴定器数量和误报率的对应关系；

根据误报率从存储的危险文件样本中选取待扫描的危险文件样本；

所述使用报告危险文件样本为病毒文件的鉴定器重新扫描危险文件样本具体包括：

对于每个待扫描的危险文件样本，使用报告该危险文件样本为病毒文件的鉴定器重新扫描该危险文件样本。

5.根据权利要求1至4任一项所述的方法，其中，

所述方法还包括：

在接收到查询文件样本是否安全的请求时，在日志中记录接收到的请求；

根据日志中的记录，提取在预设时间内查询次数大于预设热度阀值的文件样本，提取的文件样本为活跃文件样本。

6.根据权利要求5所述的方法，其中，

所述根据灰文件样本的属性得出灰文件样本的漏报率具体包括：

从活跃文件样本中提取灰文件样本，根据提取的灰文件样本的属性得出该灰文件样本的漏报率；

所述根据漏报率从存储的灰文件样本中选取待扫描的灰文件样本具体包括：

从提取的灰文件样本中选取漏报率大于预设漏报率阀值的灰文件样本，以选取的灰文件样本为待扫描的灰文件样本。

7.根据权利要求5所述的方法，其中，

所述确定报告危险文件样本为病毒文件的鉴定器具体包括：

从活跃文件样本中提取危险文件样本，确定报告提取的危险文件样本为病毒文件的鉴定器；

所述根据误报率从存储的危险文件样本中选取待扫描的危险文件样本具体包括：

从提取的危险文件样本中选取误报率大于预设的误报率阀值的危险文件样本，以选取的危险文件样本为待扫描的危险文件样本。

8.根据权利要求2所述的方法，其中，

所述根据灰文件样本的属性得出灰文件样本的漏报率具体包括：

根据对病毒文件的特征进行统计而得出的统计结果，以及灰文件样本的属性，计算出该灰文件样本可能为病毒文件的概率，以该概率作为计算该灰文件样本的漏报率的参量。

9.根据权利要求8所述的方法，其中，

所述根据对病毒文件的特征进行统计而得出的统计结果，以及灰文件样本的属性，计算出该灰文件样本可能为病毒文件的概率具体包括：

根据对病毒文件的大小进行统计而得出的统计结果，以及灰文件样本的大小，计算出该灰文件样本可能为病毒文件的概率；

和/或，

根据对病毒文件的路径进行统计而得出的统计结果，以及灰文件样本的路径，计算出该灰文件样本可能为病毒文件的概率；

和/或，

根据对病毒文件的操作行为进行统计而得出的危险操作行为列表，以及灰文件样本的操作行为，计算出该灰文件样本可能为病毒文件的概率。