一种病毒家族识别方法、系统、设备及计算机存储介质

技术领域

本申请涉及网络安全技术领域，更具体地说，涉及一种病毒家族识别方法、系统、设备及计算机存储介质。

背景技术

随着网络的发展和普及，用户的网上活动日益频繁，而在用户上网过程中，不法分子为了利益等需求，会对用户进行网络攻击，比如向用户设备发送病毒文件、病毒视频等来对用户进行网络攻击，网络攻击会给用户带来损失，因此网络安全日益重要。为了保护用户网络安全，可以对网络上存在的病毒进行检测、识别、消除等，在此过程中，考虑到病毒种类较多，可以对病毒进行分类，也即将病毒分为不同的病毒家族，借助病毒家族来描述一类病毒的特性，以此来快速对病毒进行处理。

当需要对病毒家族进行识别时，可以借助各个杀毒引擎对目标病毒进行家族识别，得到家族识别信息，之后采用加权投票等方式来根据家族识别信息确定目标病毒的家族标签，以此来快速进行病毒家族识别。然而，当遇到新的病毒或者相似的病毒时，该种方法对的病毒家族识别准确率便会较低。

综上所述，如何准确对病毒家族进行识别是目前本领域技术人员亟待解决的问题。

发明内容

本申请的目的是提供一种病毒家族识别方法，其能在一定程度上解决如何准确对病毒家族进行识别的技术问题。本申请还提供了一种病毒家族识别系统、设备及计算机可读存储介质。

为了实现上述目的，第一方面，本申请提供一种病毒家族识别方法，包括：

获取多个病毒家族识别设备对多个目标病毒中各个所述目标病毒的家族识别信息；

将所述家族识别信息转换为向量信息；

基于所述向量信息对多个所述目标病毒进行聚类，得到目标病毒家族簇；

确定每个所述目标病毒家族簇的目标家族标签。

本申请中，在获取多个家族识别信息之后，需将家族识别信息转换为向量信息，以便后续快速基于向量信息对家族识别信息进行处理；之后需要基于向量信息对目标病毒进行聚类，因为聚类是将类似的对象聚在一起，所以目标病毒家族簇中的病毒均是类似的病毒，且无论目标病毒是否为新病毒，本申请均可以将具有共性的病毒聚类在一起；这样，最后确定每个目标病毒家族簇的目标家族标签后，类似的目标病毒会被标识上同一个家族标签，识别性好且准确率高。

优选的，所述将所述家族识别信息转换为向量信息，包括：

对所述家族识别信息进行处理，获得初始家族名；

将所述初始家族名转换为所述向量信息。

优选的，所述对所述家族识别信息进行处理，获得初始家族名，包括：

对所述家族识别信息进行分割，得到家族识别子信息；

剔除所述家族识别子信息中的预设信息，得到剔除后家族子信息；

对所述剔除后家族子信息进行字符串选取，得到所述初始家族名；

将所述初始家族名转换为所述向量信息。

优选的，所述基于所述向量信息对多个所述目标病毒进行聚类，得到目标病毒家族簇，包括：

对所述向量信息进行聚类，得到向量信息家族簇；

确定所述向量信息家族簇的簇编号；

基于所述簇编号对多个所述目标病毒进行聚类，得到所述目标病毒家族簇。

优选的，所述基于所述簇编号对多个所述目标病毒进行聚类，得到所述目标病毒家族簇，包括：

对于每个所述目标病毒，将所述目标病毒的所述家族识别信息对应的所述簇编号进行组合，得到所述目标病毒的归一化序列；

基于所述归一化序列对多个所述目标病毒进行聚类，得到所述目标病毒家族簇。

本申请中，将目标病毒的家族识别信息对应的簇编号进行组合，得到目标病毒的归一化序列，因为簇编号可以用来表征不同的向量信息，所以归一化序列可以反映该目标病毒的不同病毒家族信息，之后再基于归一化序列对目标病毒进行聚类的话，相当于综合考虑家族识别信息间的共性和特性进行家族聚类，可以得到综合考虑目标病毒间的家族识别结果共性和特性的目标病毒家族簇，提高目标病毒家族簇的聚类合理性和健壮性。

优选的，所述基于所述归一化序列对多个所述目标病毒进行聚类，得到所述目标病毒家族簇，包括：

将相同的所述归一化序列聚在一起，得到序列聚类结果；

基于所述向量信息，确定所述序列聚类结果的序列向量；

基于所述序列向量对所述序列聚类结果进行聚类，得到目标聚类结果；

将所述目标聚类结果对应的所述目标病毒聚在一起，得到对应的所述目标病毒家族簇。

优选的，所述基于所述向量信息，确定所述序列聚类结果的序列向量，包括：

基于所述目标病毒对应的所述向量信息，确定所述目标病毒的样本向量；

基于所述样本向量，确定所述序列聚类结果的所述序列向量。

优选的，所述基于所述样本向量，确定所述序列聚类结果的所述序列向量，包括：

将所述序列聚类结果对应的所述样本向量的中心作为所述序列向量。

优选的，所述确定每个所述目标病毒家族簇的目标家族标签，包括：

将所述目标病毒家族簇中出现次数最多的家族名确定为初始家族标签；

若存在相同的所述初始家族标签，则为相同的所述初始家族标签添加区分信息，得到所述目标家族标签；

若不存在相同的所述初始家族标签，则将所述初始家族标签作为所述目标家族标签。

第二方面，本申请提供一种病毒家族识别系统，包括：

家族识别信息获取模块，用于获取多个病毒家族识别设备对多个目标病毒中各个所述目标病毒的家族识别信息；

向量转换模块，用于将所述家族识别信息转换为向量信息；

聚类模块，用于基于所述向量信息对多个所述目标病毒进行聚类，得到目标病毒家族簇；

家族标签确定模块，用于确定每个所述目标病毒家族簇的目标家族标签。

第三方面，本申请提供一种电子设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如上任一所述病毒家族识别方法的步骤。

第四方面，本申请提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序，所述计算机程序被处理器执行时实现如上任一所述病毒家族识别方法的步骤。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本申请实施例提供的一种病毒家族识别方法的第一流程图；

图2为本申请实施例提供的一种病毒家族识别方法的第二流程图；

图3为本申请实施例提供的一种病毒家族识别方法的第三流程图；

图4为本申请实施例提供的一种病毒家族识别方法的第四流程图；

图5为本申请实施例提供的一种病毒家族识别系统的结构示意图；

图6为本发明实施例电子设备的硬件组成结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

请参阅图1，图1为本申请实施例提供的一种病毒家族识别方法的第一流程图。

本申请实施例提供的一种病毒家族识别方法，可以包括以下步骤：

步骤S101：获取多个病毒家族识别设备对多个目标病毒中各个目标病毒的家族识别信息。

实际应用中，因为现有技术中存在可以对目标病毒的家族信息进行识别的病毒家族识别设备，比如杀毒引擎等可以直接确定目标病毒的家族信息，且病毒家族识别设备的家族识别结果具有一定准确性，所以可以先获取多个病毒家族识别设备对各个目标病毒的家族识别信息，以便后续根据该家族识别信息确定目标病毒的家族信息，可以在一定程度上提高本申请方法的运行效率。

需要说明的是，病毒家族识别设备及目标病毒的数量均可以根据实际需要确定，比如病毒家族识别设备为10个，目标病毒为100个等，因为每个病毒家族识别设备均会输出目标病毒的一个家族识别信息，所以每个目标病毒均会有10个家族识别信息，总计有1000个家族识别信息。

步骤S102：将家族识别信息转换为向量信息。

实际应用中，考虑到家族识别信息的数量可能较多，且单个家族识别信息的内容可能较大，如果直接对家族识别信息进行处理的话，会降低本申请方法的运行效率，为了避免此问题，可以将家族识别信息转换为对应的向量信息，因为家族识别信息不同的话，转换得到的向量信息会不同，所以可以借助向量信息来代替家族识别信息进行后续处理，且向量信息的结构较简单，可以在一定程度上提高本申请方法的运行效率；最主要的，后续借助向量信息量化家族识别信息之间的距离，以便更准确的对目标病毒进行病毒家族识别。

需要说明的是，本申请中的向量信息指的是将家族识别信息向量化后得到的信息，比如家族识别信息为fuerboos时，其转换得到的向量信息可以为[0,1,1,0]，家族识别信息为fuerboose时，其转换得到的向量信息可以为[0,1,0,1]等，将家族识别信息转换为向量信息的方法可以根据实际需要确定，比如可以通过NLP(Natural LanguageProcessing，自然语言处理)中的FastText技术将家族识别信息转换为向量信息等，本申请在此不做具体限定。

步骤S103：基于向量信息对多个目标病毒进行聚类，得到目标病毒家族簇。

实际应用中，考虑到对病毒的家族划分是依据病毒间的共性进行的，而聚类可以将类似的对象聚到一起，所以可以基于向量信息对目标病毒进行聚类，得到目标病毒家族簇，此时，被聚到一个目标病毒家族簇中的目标病毒便是属于同一个病毒家族的病毒。

需要说明的是，本申请中所应用的聚类方法可以根据实际需要确定，比如可以借助DBSCAN(Density-Based Spatial Clustering of Applications with Noise)、CLARANS(A Clustering Algorithmbased on Randomized Search，基于随机选择的聚类算法)、DENCLUE(Density Clustering)等基于向量信息对目标病毒进行聚类等，本申请在此不做具体限定。此外，当某个目标病毒为新病毒时，如果该新病毒与其他已有目标病毒较为相似，则该新病毒会与相似的已有目标病毒聚类到一起，也即同一个目标病毒家族簇中，如果该新病毒与其他已有目标病毒均不相似的话，该新病毒会被聚类一个单独的目标病毒家族簇中，也即无论目标病毒是新病毒还是已知病毒，本申请均可以得到目标病毒对应的目标病毒家族簇。

步骤S104：确定每个目标病毒家族簇的目标家族标签。

实际应用中，在得到目标病毒家族簇后，便可以确定每个目标病毒家族簇的目标家族标签，这样，该目标病毒家族簇中的目标病毒便会继承该目标家族标签，也即该目标家族标签便是该目标病毒家族簇中目标病毒的病毒家族识别结果，目标家族标签的类型及内容可以根据实际需要确定，本申请在此不做具体限定。

本申请提供的一种病毒家族识别方法，获取多个病毒家族识别设备对各个目标病毒的家族识别信息；将家族识别信息转换为向量信息；基于向量信息对目标病毒进行聚类，得到目标病毒家族簇；确定每个目标病毒家族簇的目标家族标签。本申请中，在获取多个家族识别信息之后，需将家族识别信息转换为向量信息，以便后续快速基于向量信息对家族识别信息进行处理；之后需要基于向量信息对目标病毒进行聚类，因为聚类是将类似的对象聚在一起，所以目标病毒家族簇中的病毒均是类似的病毒，且无论目标病毒是否为新病毒，本申请均可以将具有共性的病毒聚类在一起；这样，最后确定每个目标病毒家族簇的目标家族标签后，类似的目标病毒会被标识上同一个家族标签，识别性好且准确率高。

请参阅图2，图2为本申请实施例提供的一种病毒家族识别方法的第二流程图。

本申请实施例提供的一种病毒家族识别方法，可以包括以下步骤：

步骤S201：获取多个病毒家族识别设备对多个目标病毒中各个目标病毒的家族识别信息。

步骤S202：对家族识别信息进行分割，得到家族识别子信息。

实际应用中，考虑到家族识别信息中携带反映病毒家族的初始家族名，而该初始家族名可以服务病毒家族识别过程，所以在将家族识别信息转换为向量信息的过程中，可以对家族识别信息进行处理，获得初始家族名；再将初始家族名转换为向量信息。

具体应用场景中，考虑到家族识别信息中可能包含与病毒家族无关的信息，或者已知的通用家族名等，如果将与病毒家族无关的信息或者已知的通用家族名代入后续处理的话，会对最终的病毒家族识别结果的准确性造成影响，为了避免此种情况，在将家族识别信息转换为向量信息的过程中，可以先对家族识别信息进行分割，得到家族识别子信息，以此来将与病毒家族无关的信息或者已知的通用家族名等暴露出来，比如可以根据家族识别信息中的分隔符，如“/”、“：”等，将家族识别信息分割为相应的家族识别子信息，比如一个家族识别信息为abcd/efg/hi，则按照分隔符“/”进行分割的话，得到的三个家族识别子信息分别为：abcd、efg和hi。

步骤S203：剔除家族识别子信息中的预设信息，得到剔除后家族子信息。

实际应用中，在对家族识别信息进行分割，得到家族识别子信息之后，便可以剔除家族识别子信息中的预设信息，也即剔除与病毒家族无关的信息或者已知的通用家族名等，得到只包含与病毒家族相关的剔除后家族子信息，且该剔除后家族子信息反映了独属于该目标病毒的特有家族信息，换言之，通过本申请的剔除操作，可以将目标病毒独有的家族信息暴露出来。仍以上述家族识别信息为abcd/efg/hi为例，假设abcd属于通用家族名，则需将abcd剔除掉，得到efg和hi两个剔除后家族系信息。

步骤S204：对剔除后家族子信息进行字符串选取，得到初始家族名。

实际应用中，在剔除家族识别子信息中的预设信息后，可能得到一个或多个剔除后家族子信息，此时，可以对剔除后家族子信息进行字符串选取，得到表征目标病毒所属病毒家族的初始家族名。

需要说明的是，对剔除后家族子信息进行字符串选取的选取规则可以根据实际需要确定，比如可以将剔除无用信息后得到的第一个家族子信息选取为初始家族名，或者将剔除无用信息后得到的最长的家族识别子信息选取为初始家族名等，本申请在此不做具体限定。

步骤S205：将初始家族名转换为向量信息。

实际应用中，在得到初始家族名后，便可以将初始家族名转换为向量信息。需要说明的是，因为剔除掉家族识别子信息中与病毒家族无关的信息或者已知的通用家族名等，可以将目标病毒独有的家族信息暴露出来，所以最终转换成的向量信息可以反映该目标病毒独有的家族信息，后续再根据目标病毒独有的家族信息进行病毒家族识别，可以增强识别准确性及健壮性。

步骤S206：基于向量信息对多个目标病毒进行聚类，得到目标病毒家族簇。

步骤S207：确定每个目标病毒家族簇的目标家族标签。

请参阅图3，图3为本申请实施例提供的一种病毒家族识别方法的第三流程图。

本申请实施例提供的一种病毒家族识别方法，可以包括以下步骤：

步骤S301：获取多个病毒家族识别设备对多个目标病毒中各个目标病毒的家族识别信息。

步骤S302：将家族识别信息转换为向量信息。

步骤S303：对向量信息进行聚类，得到向量信息家族簇。

实际应用中，在基于向量信息对目标病毒进行聚类，得到目标病毒家族簇的过程中，可以先对向量信息进行聚类，得到向量信息家族簇，以此将类似的向量信息聚到一起，此时向量信息家族簇中的目标病毒间存在共性。

步骤S304：确定向量信息家族簇的簇编号。

实际应用中，考虑到类似的两个家族识别信息转换成的向量信息也会比较近似，此时这两个向量信息会被聚类到一起，但单个向量信息只能代表一个家族识别信息，而一个目标病毒会有多个家族识别信息，也即一个目标病毒会有多个向量信息，如果仅仅依据单个向量信息聚类到的向量信息家族簇便将目标病毒进行家族划分，可能使得最终的划分结果不准确，为了进一步提高本申请方法的识别准确性，可以确定向量信息家族簇的簇编号，以借助该簇编号来表征不同的向量信息，比如向量信息A和B属于一个向量信息家族簇，向量信息C和D属于另一个向量信息家族簇，则向量信息A和B的簇编号可以为1，向量信息C和D的簇编号可以为2，借助1和2便可以将不同的向量信息家族簇区分开来。

步骤S305：对于每个目标病毒，将目标病毒的家族识别信息对应的簇编号进行组合，得到目标病毒的归一化序列。

实际应用中，在确定向量信息家族簇的簇编号之后，便可以基于簇编号对多个目标病毒进行聚类，得到目标病毒家族簇，且在此过程中，对于一个目标病毒而言，该目标病毒的多个向量信息反映了该目标病毒的不同病毒家族信息，如果基于该目标病毒的所有病毒家族信息来确定该目标病毒的病毒家族的话，无疑会使得最终的识别结果更为准确，为了实现此效果，在确定向量信息家族簇的簇编号之后，对于每个目标病毒，可以将目标病毒的家族识别信息对应的簇编号进行组合，得到目标病毒的归一化序列。应当指出，将目标病毒的家族识别信息对应的簇编号进行组合的方式可以根据实际需要确定，比如可以先对多个病毒家族识别设备进行排序，再根据该排序结果，将目标病毒的家族识别信息对应的簇编号进行组合，得到目标病毒的归一化序列等。

需要说明的是，如果两个家族识别信息类似，两个家族识别信息所对应的向量信息会被聚类到一个向量信息家族簇中，从而会被分配相同的簇编号，而所有的目标病毒均会有一个归一化序列，所以两个归一化序列中相同位置的值相同的话，可以表征对应的两个家族识别信息相类似，为了便于理解，假设病毒家族识别设备有两个，目标病毒也有两个，且第一个病毒家族识别设备对两个目标病毒的家族识别信息分别为C1和C2，第二个病毒家族识别设备对两个目标病毒的家族识别信息分别为D1和D2，假设只有C1和C2类似，C1和C2对应的簇编号为1，D1对应的簇编号为2，D2对应的簇编号为3，且归一化序列的结构为CD，其中，C表示第一个病毒家族识别设备的家族识别信息对应的簇编号，D表示第二个病毒家族识别设备的家族识别信息对应的簇编号，则两个目标病毒的归一化序列分别为12和13。

步骤S306：基于归一化序列对多个目标病毒进行聚类，得到目标病毒家族簇。

实际应用中，因为归一化序列反映了所有病毒家族识别设备对目标病毒的家族识别信息，且两个归一化序列中相同位置的值相同可以表征对应的两个家族识别信息相类似，两个归一化序列中相同位置的值不同可以表征对应的两个家族识别信息不类似，所以直接基于归一化序列对目标病毒进行聚类的话，相当于综合考虑家族识别信息间的共性和特性进行家族聚类，可以得到综合考虑目标病毒间的家族识别结果共性和特性的目标病毒家族簇，提高目标病毒家族簇的聚类合理性和健壮性。

步骤S307：确定每个目标病毒家族簇的目标家族标签。

请参阅图4，图4为本申请实施例提供的一种病毒家族识别方法的第四流程图。

本申请实施例提供的一种病毒家族识别方法，可以包括以下步骤：

步骤S401：获取多个病毒家族识别设备对多个目标病毒中各个目标病毒的家族识别信息。

步骤S402：将家族识别信息转换为向量信息。

步骤S403：对向量信息进行聚类，得到向量信息家族簇。

步骤S404：确定向量信息家族簇的簇编号。

步骤S405：对于每个目标病毒，将目标病毒的家族识别信息对应的簇编号进行组合，得到目标病毒的归一化序列。

步骤S406：将相同的归一化序列聚在一起，得到序列聚类结果。

步骤S407：基于向量信息，确定序列聚类结果的序列向量。

步骤S408：基于序列向量对序列聚类结果进行聚类，得到目标聚类结果。

步骤S409：将目标聚类结果对应的目标病毒聚在一起，得到对应的目标病毒家族簇。

实际应用中，因为归一化序列的本质为簇编号序列，此时直接对归一化序列进行聚类的话，只有相同的归一化序列会被聚到一起，也即只能将相同的家族识别信息聚到一起，而无法将类似的家族识别信息聚到一起，为了避免此种情况，在基于归一化序列对目标病毒进行聚类，得到目标病毒家族簇的过程中可以先将相同的归一化序列聚在一起，得到序列聚类结果；再基于向量信息，确定序列聚类结果的序列向量，以将归一化序列转换为相应的向量；之后基于序列向量对序列聚类结果进行聚类，得到目标聚类结果，以在向量层面对归一化序列进行聚类；最后将目标聚类结果对应的目标病毒聚在一起，得到对应的目标病毒家族簇。

具体应用场景中，在基于向量信息，确定序列聚类结果的序列向量的过程中，为了便于确定序列向量，可以先基于目标病毒对应的向量信息，确定目标病毒的样本向量，比如将目标病毒对应的向量信息的中心作为样本向量等；在基于样本向量，确定序列聚类结果的序列向量，比如将将序列聚类结果对应的样本向量的中心作为序列向量等。

步骤S410：确定每个目标病毒家族簇的目标家族标签。

本申请实施例提供的一种病毒家族识别方法中，在确定每个目标病毒家族簇的目标家族标签的过程中，为了快速确定目标家族标签，可以将目标病毒家族簇中出现次数最多的家族名确定为初始家族标签，或者将目标病毒家族簇中最权威的家族名确定为初始家族标签等；且在此过程中，若存在相同的初始家族标签，则为相同的初始家族标签添加区分信息，得到目标家族标签，区分信息的类型可以根据实际需要确定，比如两个目标病毒家族簇的初始家族标签均为cerber，则可以将其中的一个目标病毒家族簇的目标家族标签确定为cerber_0，将另一个目标病毒家族簇的目标家族标签确定为cerber_1等；若不存在相同的初始家族标签，则将初始家族标签作为目标家族标签。

请参阅图5，图5为本申请实施例提供的一种病毒家族识别系统的结构示意图。

本申请实施例提供的一种病毒家族识别系统，可以包括：

家族识别信息获取模块101，用于获取多个病毒家族识别设备对多个目标病毒中各个目标病毒的家族识别信息；

向量转换模块102，用于将家族识别信息转换为向量信息；

聚类模块103，用于基于向量信息对多个目标病毒进行聚类，得到目标病毒家族簇；

家族标签确定模块104，用于确定每个目标病毒家族簇的目标家族标签。

本申请实施例提供的一种病毒家族识别系统，向量转换模块可以包括：

家族名获取子模块，用于对家族识别信息进行处理，获得初始家族名；

转换单元，用于将初始家族名转换为向量信息。

本申请实施例提供的一种病毒家族识别系统，家族名获取子模块可以包括：

分割单元，用于对家族识别信息进行分割，得到家族识别子信息；

剔除单元，用于剔除家族识别子信息中的预设信息，得到剔除后家族子信息；

选取单元，用于对剔除后家族子信息进行字符串选取，得到初始家族名。

本申请实施例提供的一种病毒家族识别系统，聚类模块可以包括：

第一聚类单元，用于对向量信息进行聚类，得到向量信息家族簇；

确定单元，用于确定向量信息家族簇的簇编号；

第一聚类子模块，用于基于簇编号对多个目标病毒进行聚类，得到目标病毒家族簇。

本申请实施例提供的一种病毒家族识别系统，第一聚类子模块可以包括：

组合单元，用于对于每个目标病毒，将目标病毒的家族识别信息对应的簇编号进行组合，得到目标病毒的归一化序列；

第二聚类单元，用于基于归一化序列对目标病毒进行聚类，得到目标病毒家族簇。

本申请实施例提供的一种病毒家族识别系统，第二聚类单元可以具体用于：将相同的归一化序列聚在一起，得到序列聚类结果；基于向量信息，确定序列聚类结果的序列向量；基于序列向量对序列聚类结果进行聚类，得到目标聚类结果；将目标聚类结果对应的目标病毒聚在一起，得到对应的目标病毒家族簇。

本申请实施例提供的一种病毒家族识别系统，第二聚类单元可以具体用于：基于目标病毒对应的向量信息，确定目标病毒的样本向量；基于样本向量，确定序列聚类结果的序列向量。

本申请实施例提供的一种病毒家族识别系统，第二聚类单元可以具体用于：将序列聚类结果对应的样本向量的中心作为序列向量。

本申请实施例提供的一种病毒家族识别系统，家族标签确定模块可以包括：

标签确定单元，用于将目标病毒家族簇中出现次数最多的家族名确定为初始家族标签；

处理单元，用于若存在相同的初始家族标签，则为相同的初始家族标签添加区分信息，得到目标家族标签；若不存在相同的初始家族标签，则将初始家族标签作为目标家族标签。

基于上述程序模块的硬件实现，且为了实现本发明实施例的方法，本发明实施例还提供了一种电子设备，图6为本发明实施例电子设备的硬件组成结构示意图，如图6所示，电子设备包括：

通信接口1，能够与其它设备比如网络设备等进行信息交互；

处理器2，与通信接口1连接，以实现与其它设备进行信息交互，用于运行计算机程序时，执行上述一个或多个技术方案提供的病毒家族识别方法。而所述计算机程序存储在存储器3上。

当然，实际应用时，电子设备中的各个组件通过总线系统4耦合在一起。可理解，总线系统4用于实现这些组件之间的连接通信。总线系统4除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图6中将各种总线都标为总线系统4。

本发明实施例中的存储器3用于存储各种类型的数据以支持电子设备的操作。这些数据的示例包括：用于在电子设备上操作的任何计算机程序。

可以理解，存储器3可以是易失性存储器或非易失性存储器，也可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(ROM，Read Only Memory)、可编程只读存储器(PROM，Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM，Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM，Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM，ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM，Compact Disc Read-Only Memory)；磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM，Random AccessMemory)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(SRAM，Static RandomAccess Memory)、同步静态随机存取存储器(SSRAM，Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM，Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM，SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM，Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM，Enhanced Synchronous Dynamic RandomAccess Memory)、同步连接动态随机存取存储器(SLDRAM，SyncLink Dynamic RandomAccess Memory)、直接内存总线随机存取存储器(DRRAM，Direct Rambus Random Access Memory)。本发明实施例描述的存储器2旨在包括但不限于这些和任意其它适合类型的存储器。

上述本发明实施例揭示的方法可以应用于处理器2中，或者由处理器2实现。处理器2可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器2中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器2可以是通用处理器、DSP，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器2可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中，该存储介质位于存储器3，处理器2读取存储器3中的程序，结合其硬件完成前述方法的步骤。

处理器2执行所述程序时实现本发明实施例的各个方法中的相应流程，为了简洁，在此不再赘述。

在示例性实施例中，本发明实施例还提供了一种存储介质，即计算机存储介质，具体为计算机可读存储介质，例如包括存储计算机程序的存储器3，上述计算机程序可由处理器2执行，以完成前述方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置、终端和方法，可以通过其它的方式实现。以上所描述的设备实施例仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。

上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元，即可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。

另外，在本发明各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

或者，本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台电子设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

本申请实施例提供的病毒家族识别系统、设备及计算机可读存储介质中相关部分的说明请参见本申请实施例提供的病毒家族识别方法中对应部分的详细说明，在此不再赘述。另外，本申请实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明，以免过多赘述。

还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

对所公开的实施例的上述说明，使本领域技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。