[发明专利]病毒特征的提取方法及装置

权利要求书

1.一种病毒特征的提取装置，其特征在于，包括：

获取单元，用于获取若干个病毒样本；

分类单元，用于将所述获取单元得到的若干个病毒样本分为至少一个类别，以使属于同一个类别的任意两个病毒样本的特征值之间的相似度大于等于一预设阈值；

提取单元，用于对于所述分类单元得到的每一类别，提取属于该类别的所有病毒样本的共同特征；

所述分类单元具体包括：

获取模块，用于获取所述获取单元得到的若干个病毒样本的特征值，以组成特征值集合；

估计模块，用于估计每一可用的计算设备的计算速度；

重复模块，用于在所述特征值集合中任意两个特征值之间的相似度小于预设阈值之前，重复地执行下述步骤：

根据所述估计模块得到的每一可用的计算设备的计算速度将所述特征值集合中的所有特征值分配给至少一个计算设备，以使所述至少一个计算设备在处理时间满足预设条件的前提下对分配到的特征值进行筛选，使得任意两个特征值之间的相似度小于所述预设阈值。

2.根据权利要求1所述的装置，其特征在于，所述病毒样本的特征值为该病毒样本在文件格式下的模糊哈希特征值。

3.根据权利要求1所述的装置，其特征在于，所述估计模块具体包括：

发送子模块，用于将所述获取单元得到的预设数量的特征值发送给任一可用的计算设备，以使该计算设备对所述预设数量的特征值进行筛选，使得任意两个特征值之间的相似度小于所述预设阈值；

获取子模块，用于获取该计算设备的处理时间，以得到所述每一可用的计算设备的计算速度的估计值。

4.根据权利要求1所述的装置，其特征在于，所述重复模块具体包括：

确定子模块，用于根据所述估计模块得到的每一可用的计算设备的计算速度和所述预设条件确定分配给每一计算设备的特征值的数量；

发送子模块，用于按照所述确定子模块得到的特征值的数量将所述特征值集合中的所有特征值分发给至少一个计算设备，以使所述至少一个计算设备对分配到的特征值进行筛选，使得任意两个特征值之间的相似度小于所述预设阈值；

接收子模块，用于接收来自所述至少一个计算设备的筛选后的特征值，以更新所述特征值集合。

5.根据权利要求1所述的装置，其特征在于，所述对分配到的特征值进行筛选，使得任意两个特征值之间的相似度小于所述预设阈值，具体包括：

将一个特征值保留，并对其余的所有特征值依次执行以下步骤：

判断特征值是否与已保留的任一特征值之间的相似度大于等于所述预设阈值；

若是，则将该特征值去除；

若否，则将该特征值保留。

6.根据权利要求1所述的装置，其特征在于，所述分类单元还包括：

发送模块，用于将所有待聚类的样本分为若干份，并与所述重复模块得到的特征值集合一起分别发送给若干个计算设备，以使所述计算设备依次计算每一样本的特征值与所述特征值集合中所有特征值的相似度，并将每一样本标记为与该样本的特征值之间的相似度最大的特征值所对应的类别；

接收模块，用于接收来自所述若干个计算设备的每一样本的类别标记，以对所有待聚类的样本进行分类。

7.根据权利要求1至6中任意一项所述的装置，其特征在于，所述预设条件包括：

任一计算设备的所述处理时间小于第一预设值；

和/或，

所有计算设备的所述处理时间趋于一致；

和/或，

在所述特征值集合中的特征值数量大于第二预设值时，任一所述计算设备的所述处理时间趋近于第三预设值。