[发明专利]用于查杀恶意程序的文件筛选系统和文件筛选方法

权利要求书

1.用于查杀恶意程序的文件筛选系统，其特征在于，包括服务器端和多个客户端；

服务器端包括：

通信模块，其用于与各个客户端的通信模块共同实现服务器端与客户端的信息交互；

文件收集库，其用于存放符合收集条件的文件；

文件记录表，其记录各个文件的分布数量信息，以及各个文件的首发时间信息和最后触发时间信息；所说的各个文件的数量是指存放该文件的装有客户端的计算机数量，所说的首发时间是指存放该文件的计算机第一次通过客户端向服务器端汇报存在此文件的时间，所说的最后触发时间是指存放该文件的计算机最后一次通过客户端向服务器端汇报存在此文件的时间；

筛选模块，其用于计算各个文件的分布广度和扩散速度，并将符合设定条件的文件放入文件收集库，所述的设定条件由编程人员设定，根据文件分布广度和文件的扩散速度判断是否筛选出该文件到文件收集库；所述文件分布广度是指拥有该文件的计算机数量与总的安装有客户端的计算机数量的比值，所述文件的扩散速度是指该文件的数量除以该文件的最后出发时间与首发时间的差值；

客户端包括：

通信模块，其用于与服务器端的通信模块共同实现服务器端与客户端的信息交互；

文件特征采集模块，其连续循环采集客户端所在计算机中所有文件的文件特征信息，该文件与其文件特征一一对应，文件特征信息通过客户端通信模块发送给服务器端。

2.根据权利要求1所述的用于查杀恶意程序的文件筛选系统，其特征在于，

文件特征信息用两种方式描述，第一为文件MD5值，如果MD5值相同，则为相同文件，如果MD5值不同，进一步采用第二种方式，将文件分为10个区域，分别计算这10个区域的HASH值，选取这10个HASH值的任意两个值为一个特征值，每组为一个特征，如果不同MD5的文件有任意一个特征相同，则视为同一文件，否则为不同文件。

3.根据权利要求2所述的用于查杀恶意程序的文件筛选系统，其特征在于，

所述的设定条件为：

文件分布广度大于m％且小于w％时，如果文件的扩散速度小于U1，则将该文件筛选出来放入文件收集库；

文件分布广度高于b％且小于n％时，如果文件的扩散速度大于U2，则将该文件筛选出来放入文件收集库；

文件分布广度高于n％时，则将该文件筛选出来放入文件收集库；

其中，m＜b＜w＜n；所述m、b、w、n、U1、U2的数值由编程人员根据客户端的数量设定。

4.根据权利要求3所述的用于查杀恶意程序的文件筛选系统，其特征在于，

m＝0.001，b＝0.01，w＝0.02，n＝0.1，U1为1个/2分钟，U2为1个/2秒钟。

5.根据权利要求1-4中任意一项所述的用于查杀恶意程序的文件筛选系统，其特征在于，

客户端发送文件特征信息前判断该特征信息是否已经发送过，对于已经发送过的特征信息，客户端不再进行重复发送。

6.使用权利要求1所述的文件筛选系统的文件筛选方法，其特征在于，包括如下过程：

a.将多个客户端分别安装在各个计算机上，服务器端和多个客户端通过网络连接；

b.客户端的文件特征采集模块连续循环采集其所在计算机上所有文件的文件特征信息，并通过客户端的通信模块发送给服务器端；

c.如果服务器端存在这个特征信息，则将这个特征所对应文件的分布数量信息加1，同时将当前时间记录为该文件的最后触发时间；如果服务器端不存在这个特征信息，则将这个特征所对应文件的分布数量信息设为1，同时将当前时间记录为该文件的首发时间和最后触发时间；

d.文件记录表中某文件的分布数量信息和文件的最后触发时间发生变化时，筛选模块计算该文件的分布广度和扩散速度，如果该文件符合设定条件则放入文件收集库，否则暂不收集此文件。

7.根据权利要求6所述的文件筛选方法，其特征在于，文件特征信息用两种方式描述，第一为文件MD5值，如果MD5值相同，则为相同文件，如果MD5值不同，进一步采用第二种方式，将文件分为10个区域，分别计算这10个区域的HASH值，选取这10个HASH值的任意两个值为一个特征值，每组为一个特征，如果不同MD5的文件有任意一个特征相同，则视为同一文件，否则为不同文件。