[发明专利]用于查杀恶意程序的文件筛选系统和文件筛选方法

说明书

技术领域

本发明涉及计算机反恶意程序类软件领域，尤其涉及一种用于查杀恶意程序的文件筛选系统和文件筛选方法。

背景技术

目前，计算机反恶意程序软件查杀恶意程序的基本原理是：鉴别收集到的文件是否为恶意程序，并将鉴别出来的恶意程序提取特征、生成特征库；扫描客户端计算机中的全部文件，并判断每个文件是否与特征库中的恶意特征相匹配，如果匹配则为恶意文件。随着计算机软件和硬件技术的发展，一方面，计算机的硬盘空间越来越大，所能安装和存放的软件越来越多；另一方面软件的种类也越来越多，尤其是一些专业软件，比如PRO-E、UG等工程软件，还有电子设计软件、财会软件、平面设计软件等等，不少专业软件都是特定人群使用，在整个因特网内的使用比例并不是很大，但这些软件在单个客户端上所占的空间却比较大，所有这些软件的文件总数数量庞大，分布不广的文件数量占文件总数的比率很高。因此，对整个客户端所在计算机的全部文件鉴别哪些文件是恶意的需要花费大量的时间，使得反恶意程序软件响应恶意程序的时间变长，对所有的恶意程序检测覆盖率变低，不能满足用户的使用要求。

针对上述问题，先进行一次粗选，将一部分无危害(或可以确定为非恶意)的文件排出在鉴别、收集范围之外，将提高反恶意程序软件对恶意程序的响应速度和提高反恶意程序软件对恶意程序的检测比率。

发明内容

本发明克服了现有技术中的不足，本发明的第一目的是提供一种文件筛选系统，使用该系统可以对整个系统所分布的网络内的计算机上的软件进行筛选，筛选出来的文件可用于后续恶意程序鉴别。

本发明的第二目的是提供一种使用上述文件筛选系统的文件筛选方法。

为了实现上述第一目的，本发明采用如下技术方案：

用于查杀恶意程序的文件筛选系统，其特征在于，包括服务器端和多个客户端；

服务器端包括：

通信模块，其用于与各个客户端的通信模块共同实现服务器端与客户端的信息交互；

文件收集库，其用于存放符合收集条件的文件；

文件记录表，其记录各个文件的分布数量信息，以及各个文件的首发时间信息和最后触发时间信息；所说的各个文件的分布数量是指存放该文件的装有客户端的计算机数量，所说的首发时间是指存放该文件的计算机第一次通过客户端向服务器端汇报存在此文件的时间，所说的最后触发时间是指存放该文件的计算机最后一次通过客户端向服务器端汇报存在此文件的时间；

筛选模块，其用于计算各个文件的分布广度和扩散速度，并将符合设定条件的文件放入文件收集库，所述的设定条件由编程人员设定，根据文件分布广度和文件的扩散速度判断是否筛选出该文件到文件收集库；所述文件分布广度是指拥有该文件的计算机数量与总的安装有客户端的计算机数量的比值，所述文件的扩散速度是指该文件的数量除以该文件的最后触发时间与首发时间的差值；

客户端包括：

通信模块，其用于与服务器端的通信模块共同实现服务器端与客户端的信息交互；

文件特征采集模块，其连续循环采集客户端所在计算机中所有文件的文件特征信息，该文件与其文件特征一一对应，文件特征信息通过客户端通信模块发送给服务器端。

为了实现上述第二目的，本发明采用如下技术方案：

使用上述文件筛选系统进行文件筛选的方法，其包括如下过程：

a.将多个客户端分别安装在各个计算机上，服务器端和多个客户端通过网络连接；

b.客户端的文件特征采集模块连续循环采集其所在计算机上所有文件的文件特征信息，并通过客户端的通信模块发送给服务器端；

c.如果服务器端存在这个特征信息，则将这个特征所对应文件的分布数量信息加1，同时将当前时间记录为该文件的最后触发时间；如果服务器端不存在这个特征信息，则将这个特征所对应文件的分布数量信息设为1，同时将当前时间记录为该文件的首发时间和最后触发时间；

d.文件记录表中某文件的分布数量信息和文件的最后触发时间发生变化时，筛选模块计算该文件的分布广度和扩散速度，如果该文件符合设定条件则放入文件收集库，否则暂不收集此文件。

通过采用上述文件筛选装置和筛选方法，可以对计算机中的所有文件进行筛选，根据各个文件在网络中的分布广度和扩散速度，对一些基本无危害(或基本可以确定为非恶意)的文件排出在收集范围之外，收集的文件可以后续再进行恶意程序鉴别，大大缩短了鉴别恶意程序的用时。

附图说明

图1为所有文件在装有客户端的全部计算机中的分布情况示意图。

以下结合实施例对本发明内容进行详细说明。

具体实施方式