[发明专利]一种多层次的无本地病毒库检测方法及系统

说明书

技术领域

本发明涉及计算机技术领域，特别涉及一种多层次的无本地病毒库检测方法及系统。

背景技术

随着信息网络的迅速发展，我们所面临的安全问题越来越复杂，安全威胁正在飞速增长，尤其混合威胁的风险，如黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络等，极大地困扰着用户，给信息网络造成严重的破坏。而如何利用信息网络进行安全的通信，同时保护计算机自身信息的安全性，成为当前网络安全和信息安全迫在眉睫的问题。

近两年的安全防御调查表明，超过80％的管理和安全问题来自终端，计算机终端广泛涉及每个用户，由于其分散性、不被重视、安全手段缺乏的特点，已成为信息安全体系的薄弱环节。

目前，在现有的病毒检测技术中，最新公开的技术方案有以下两种：

1.一种在线查毒的装置和方法

(资料来源：中国专利  公开号：CN101039177A  公开日：2007年9月19日)

一种在线查毒的装置，用于客户终端与服务器端通过互联网对本地计算系统进行病毒的查杀，其特征在于，所述客户终端包含有客户端程序模块，所述服务器端包含有服务端程序模块，其中，所述客户端程序模块向所述服务端程序模块上传待查毒文件或者待查毒文件的校验值，并接受所述服务器端程序模块返回的查询结果；所述服务端程序模块根据该校验值查询该待查毒文件的信息或者调用杀毒引擎对该待查毒文件进行查毒，并向所述客户端程序模块返回查询结果。该技术方案的优点是无需在客户端安装体积庞大的病毒库，也无需在客户端及时更新最新的病毒数据使客户终端部署简单，能够提供比较快速的查毒服务。但该技术方案通过上传待查毒文件或者待查毒文件的校验值进行检测的方法，仍存在无法对付隐蔽型病毒，严重影响了检测速度及效果，且带宽占用较大的相关问题。

2.病毒查杀的方法、装置和系统

(资料来源：中国专利  公开号：CN101308533A  公开日：2008年11月19日)

一种病毒查杀的方法，在客户端，所述病毒查杀的方法包括：收集目标文件的特征信息；

将所述特征信息发送到服务器端进行特征匹配；接收服务端返回的匹配结果；根据所述匹配结果对所述目标文件进行处理。在服务器端，所述病毒查杀的方法包括：接收客户端发送的目标文件的特征信息；将所述特征信息与特征库中的特征信息进行特征匹配，其中，所述特征库位于服务器端，用于存储带有病毒的目标文件的特征信息；将所述匹配结果发送到客户端，由客户端根据所述匹配结果对所述目标文件进行处理。该技术方案的优点是在服务器端进行病毒的查杀，能够节省客户端系统资源。该技术方案的利用特征信息匹配虽然具有对病毒识别的准确性，但是仍存在对未知病毒不具备识别能力，无法防范最新病毒与隐蔽型病毒，且检测速度及效果相对较低的问题。

以上两个技术方案，仅仅针对病毒库进行更新操作，如果某企业用户需要专门检测某一类或某几类病毒，则仍需要花费大量的时间来等待检测结果，则会极大地损耗了企业的成本，造成不必要的损失。

发明内容

针对上述针对现有病毒检测技术中的问题，本发明的目的在于提供一种多层次的无本地病毒库检测方法，在避免病毒库升级成本的同时，提升了病毒的检测速度及对新病毒的检测能力，同时还可以实现企业私有病毒库的定制。为了实现本发明的方法，本发明还公开了一种多层次的无本地病毒库检测系统。

本发明解决其技术问题采用的技术方案是：

一种多层次的无本地病毒库检测方法，其特征在于，包括以下步骤：

所述客户端并不保存本地病毒库，仅保存部分的白名单库，获取待检测文件的归一化指令序列后，进行白名单过滤，将过滤后的归一化指令序列上传至服务器端，并接收服务器端返回的检测结果；

所述服务端包含多级服务器群，仅有顶级服务器群存储完整的白名单库与病毒库，其它级的服务器群仅保留部分白名单库及病毒库，将上传的归一化指令序列进行多级的白名单过滤与病毒库比对，将检测结果反馈给客户端。

所述获取待检测文件的归一化指令序列，进行白名单过滤的步骤，具体为：在执行病毒检测操作时，所述客户端将会对待检测文件的指令进行包括剔除常数，去掉顺序语句等的转换，得到的归一化指令序列再进行白名单过滤，并将过滤后的归一化指令序列上传至距离客户端最近的服务器端进行病毒检测；