[发明专利]基于自解压技术的黑白名单自动化动态维护的方法及系统

说明书

技术领域

本发明涉及计算机网络安全技术领域，尤其涉及基于自解压技术的黑白名单自动化动态维护的方法及系统。 

背景技术

目前的杀毒软件，当用户客户端进行软件安装的时候，通常采用查询黑名单和白名单的方法对安装时产生的新文件进行检测。对于一个新的并且安全的安装程序包，在进行安装的时候，会形成新的一批需要被加入白名单的文件，该部分白名单文件并不存在于现有的黑白名单列表中。在现有的云查杀系统中，较为传统的办法都是依靠用户客户端对新产生的文件进行采集之后发送相关文件到服务端或者云端，服务端或者云端进行分析和判断之后将判定结果反馈给客户端。此时，如果客户端数量较多，需要部署程序的客户端都将相关文件上发至服务端或者云端，服务端或者云端的压力很大，通过上传、判定、再反馈，所花费的时间也相对增长，效率大大降低。

发明内容

针对上述技术问题，本发明提供了基于自解压技术的黑白名单自动化动态维护的方法及系统，该方法通过自解压技术和格式识别技术，在服务端或者云端完成白名单列表的更新，并分发至客户端，从而减轻了服务端或者云端的处理压力，并且提高了程序的部署效率。 

本发明采用如下方法来实现：基于自解压技术的黑白名单自动化动态维护的方法，包括：

步骤1、获取目标程序，查询服务端或者云端的黑白名单数据库，判定是否已经存在目标程序的记录：

如果无记录，则继续执行步骤2；否则终止执行；

步骤2、在服务端或者云端对目标程序进行格式识别：

如果目标程序为包裹文件，则执行步骤3；否则对于非包裹文件执行步骤4；

步骤3、对包裹文件进行解压处理，随后对于包裹文件本身及其解压后得到的子文件执行步骤4；

步骤4、计算文件的散列值，得到文件的散列表，将散列表更新到服务端或者云端的白名单列表中；

步骤5、将所述散列表分发到各个客户端，更新客户端的白名单列表。客户端可以使用此时的客户端的白名单列表对目标程序及其解包后得到的子文件进行判定。 

如果无法确定目标程序的安全性，在执行步骤4所述的计算文件的散列值之前，还包括：利用反病毒引擎对所述文件进行检测，判定文件是否可信：

如果可信，则对可信的文件执行步骤4；否则，则上报检测结果，并终止执行。所述文件包括：非包裹文件或者包裹文件本身及其解包后得到的子文件。

反病毒引擎可以采用本地特征库进行检测或者采用云检测。

基于自解压技术的黑白名单自动化动态维护的系统，包括： 

查重模块，用于获取目标程序，查询服务端或者云端的黑白名单数据库，判定是否已经存在目标程序的记录：

如果无记录，则将目标程序发送至格式识别模块；否则终止执行；

格式识别模块，用于接收来自查重模块的目标程序，在服务端或者云端对目标程序进行格式识别：

如果目标程序为包裹文件，则将其发送至自解压模块；否则将非包裹文件发送至更新模块；

自解压模块，用于接收来自格式识别模块的包裹文件，对包裹文件进行解压处理，随后将包裹文件本身及其解包后得到的子文件发送至更新模块；

更新模块，用于接收格式识别模块或者自解压模块发送来的文件，计算文件的散列值，得到文件的散列表，将散列表更新到服务端或者云端的白名单列表中，并将散列表发送至分发模块；

分发模块，用于将来自更新模块的散列表分发到各个客户端，更新客户端的白名单列表。客户端可以使用此时的客户端的黑白名单数据库中的白名单列表对目标程序及其解包后得到的子文件进行判定。

如果无法确定目标程序的安全性，系统还包括检测模块，在更新模块接收发送来的文件，计算文件的散列值之前，所述检测模块利用反病毒引擎对所述文件进行检测，判定文件是否可信：

如果可信，则将可信的文件发送至更新模块；否则，则上报检测结果，并终止执行。

所述文件包括：非包裹文件或者包裹文件本身及其解包后得到的子文件。

反病毒引擎可以采用本地特征库进行检测或者采用云检测。