用於移動/智能終端的病毒特徵提取和檢測系統及方法

2023-09-14 05:28:50

專利名稱：用於移動/智能終端的病毒特徵提取和檢測系統及方法
技術領域：
本發明涉及一種用於移動/智能終端進行病毒特徵分類提取和檢測的裝置以及該裝置對病毒樣本特徵進行分類提取和檢測方法，屬於與網際網路、移動通信、網絡安全相關聯的模式識別技術領域。
背景技術：
自從2004年7月出現了第一個針對Symbian系統的概念性病毒cabir後，移動終端受到前所未有的病毒侵襲。以Symbian系統為例，據有關技術人員透露，只過了短短一年時間，各種版本的Symbian病毒總數增至百餘種。病毒的種類主要有(不計變種)cabir，skulls，mosquito，lasco，Gavno(locknut)。
目前，全球的移動用戶已經達到15億。移動/智能終端病毒的危害性日益突顯在隱私方面，病毒能竊取移動終端裡的個人敏感信息，造成用戶私密信息曝光；在經濟方面，病毒能在用戶不察覺的情況下撥打國際長途或群發簡訊/彩信，使得用戶要支付巨額資費；在信用方面，由於移動終端代表用戶個人信譽，因此當被感染的終端向其他終端發出欺騙簡訊或騷擾消息時，用戶的聲譽和信用倍受損害；在設備方面，不少病毒還會損壞移動/智能終端的硬體，使用戶蒙受財產損失，並影響使用；再者，這些病毒的傳播速度極快，傳播途徑多樣，與傳統的PC病毒相比，有過之而無不及。
目前，基於病毒特徵碼的主要掃描方式包括有傳統特徵碼掃描、啟發式掃描、廣譜特徵掃描等。下面分別簡要介紹之傳統特徵碼掃描所謂特徵碼是一個表明病毒自身特徵的十六進位字符串；例如「如果在第1034位元組處是下面的內容0xEC 0x99 0x80 0xEA，就是大麻病毒」。特徵碼一般都很長，有的可達數十字節，按照以往傳統PC殺毒的經驗，一般取32位元組。用比較好的單向Hash函數可以縮短為6～8位元組。殺毒軟體根據該特徵字符串，可非常容易地查出病毒。但是遺憾的是，隨著病毒種類越來越多，病毒庫的規模隨之變大，掃描時間也越來越長。針對行動裝置主頻低、內存小的特點，傳統特徵碼掃描技術如果再不優化，很難應用於移動終端上。
啟發式掃描通過分析指令出現的順序或特定組合情況等常見病毒的標準特徵來判斷文件是否感染了未知病毒。它的出現就是為了對付病毒的不斷變化和對未知病毒的研究。因為病毒要達到感染和破壞的目的，其通常的行為都會有一定的特徵，例如非常規讀寫文件、終結自身、非常規切入零環等等。所以可以根據掃描的特定行為或多種行為的組合來判斷某個程序是否為病毒。但是，行動裝置的軟體開發包SDK一般都不支持彙編級的編程及調試；也就是說，雖然許多移動終端製造廠商公布了移動終端整套作業系統的原始碼，但是，在目前一段的很長時間內，對於行動裝置的病毒作者和反病毒軟體的開發者來說，打包完成後的目標機器的二進位程序是不可調試分析的。
廣譜特徵掃描為了躲避殺毒軟體的查殺，病毒開始進化，即逐漸開始演變或變形，每感染一次，就對自身進行一次變形，並藉此來躲避查殺。這樣使得同一種病毒的變種病毒大量增加，甚至到達天文數字量級。大量不同形態的變形病毒之間甚至能夠做到沒有超過三個連續字節是相同的。為了對付這種情況，特徵碼的獲取不再是簡單地提取一段代碼，而是分段提取，其中間可以包含任意內容(即增加了一些不參與比較的「掩碼字節」，在出現「掩碼字節」的地方的任何內容都不參與比較)。這就是廣譜特徵碼的概念。這個技術在一段時間內，對於處理某些變形病毒提供了一種方法。但是遺憾的是，它也使誤報率大大增加，所以採用廣譜特徵碼技術目前已經不能有效的對病毒進行查殺。
總之，雖然目前在PC上積累了很多反病毒的經驗和方法，但是由於移動終端的特殊性，需要另闢蹊徑。所以，如何儘快研究和開發一種對病毒樣本特徵進行分類提取和檢測的系統及方法對移動/智能終端設備進行防護已經成為業內科技人員關注的熱點和焦點。

發明內容
有鑑於此，本發明的目的是提供一種用於移動/智能終端的病毒特徵提取和檢測裝置及方法，本發明採用分類方法提取並管理已知病毒的代碼特徵，並在此基礎上按照設定的分類規則和類別對待測樣本進行檢測，以判斷該樣本是否是病毒。本發明能夠很好地適應移動/智能終端內存小、主頻低的特點，能以極快的掃描速度根據已存儲的病毒特徵判斷文件是否帶毒，做到不漏報，不誤報。同時，在保持優良掃描性能的前提下，可以存儲大量的病毒特徵信息，為移動/智能終端設備及時防衛病毒侵害提供了一種切實有效的技術手段。
為了達到上述目的，本發明提供了一種用於移動/智能終端的病毒特徵提取和檢測裝置，其特徵在於該裝置包括下述組成構件程序樣本類別生成部件，用於產生一組符合設定程序分類規則的分類類別，以供管理者將所生成的類別載入分類類別存儲部件中；所述分類類別是將業務平臺的可執行程序按設定規則劃分的類別，作為整個裝置各部件的運行基礎和參照；該分類類別一旦存入存儲部件後，除進行二次開發外，不再變動；分類類別存儲部件，為存儲類別生成部件產生的類別信息，以供各部件讀取使用的分類類別集的存儲器；病毒特徵信息提取部件用該類別信息作為病毒信息提取過程中的病毒樣本分類依據，掃描引擎部件用其作為病毒檢測過程中的分類檢索依據，特徵信息分類管理部件用其建立與每個類別分別對應的病毒資料庫子表，以供存儲和管理與各個類別相對應的病毒樣本特徵信息；病毒特徵信息提取部件，負責根據分類類別存儲部件中的類別信息，並結合分類規則判斷病毒樣本的類別，再根據設定方法提取病毒樣本的特徵信息，然後將其存入病毒庫管理部件中與該病毒類別相對應的病毒資料庫子表；掃描引擎部件，根據分類類別存儲部件中的類別信息和分類規則，判斷待測樣本的類別，再根據設定方法提取被測樣本的特徵信息，然後在病毒庫管理部件中與該待測樣本類別相對應的病毒資料庫子表裡進行檢索，是否存在與其相同的特徵信息，藉此判斷該待測樣本是否為病毒；
特徵信息分類管理部件，又稱病毒庫管理部件，根據分類類別存儲部件中的類別信息，設有與各個類別相對應的病毒資料庫子表，用於分別存儲已有的該類病毒樣本的特徵信息；還設有訪問接口和資料庫子表管理模塊，分別用於該部件與病毒特徵信息提取部件和掃描引擎部件的信息交互和管理。
所述設定程序的分類規則是按「核」分類從某個程序樣本代碼段的起始位置開始掃描後，找到第一個匹配的「核」，則該樣本與該「核」歸屬同一個程序類別；如果最後沒有找到任何一個匹配的「核」，則另行單獨歸屬一類；所述「核」是一個長度大於等於3個字節的十六進位字符串，即特定業務平臺中的十六進位碼元的字符特徵信息，用作對給定的可執行程序樣本進行類別映射判斷的分類基準。
所述「核」集是一組用作分類映射判斷基準的「核」的集合，當「核」集有n個「核」時，均衡快速分類的程序樣本的類別為n+1，其中n為正整數。
所述程序樣本類別生成部件包括下述順序連接的組成模塊樣本遍歷模塊，負責搜集、遍歷和保存設定場合的所有程序樣本，即對樣本根據設置的「核」字節長度為窗口進行移動採樣，使用概率統計方法獲得該平臺下的程序代碼段的十六進位碼元的組合規律；程序結構解析模塊，存儲有設定業務平臺程序的結構特徵信息，用於解析程序樣本的文件頭，以獲得代碼段的偏移位置，即定位代碼段的起始位置，並獲取代碼段的字長信息；採樣信息記錄模塊，用於記錄樣本遍歷模塊移動採樣時的各種信息至少包括特徵信息「核」字節的出現次數、出現的文件名，在文件中的偏移位置；條件過濾模塊，用於最後輸出統計信息前按照設定條件進行的信息過濾，刪除明顯不合要求的候選特徵信息，保證按「核」分類的均衡性。
所述病毒特徵信息提取部件包括下述組成模塊程序類別映射模塊，根據類別存儲部件中的類別信息，按照分類規則並結合Hash方法，從十六進位病毒樣本代碼段的起始位置順序掃描，尋找相匹配的「核」，藉此快速判斷該病毒樣本的類別；
核相鄰信息抽取模塊，從所述病毒樣本中抽取「相鄰碼」-由「核」字節和與其前、後相鄰的設定長度的字節組成的字符串，該設定長度是大於8的正整數；確認信息抽取模塊，直接從十六進位病毒樣本代碼段的前、中、尾端的設定位置各取數十個字節，並與該代碼段的字長信息合併組成確認碼，用作防止誤報而從病毒樣本中抽取的附加信息；信息串單向Hash模塊，負責對「相鄰碼」和「確認碼」分別採用Hash運算將其轉換為兩者字長都是固定的「相鄰碼」Hash值a和「確認碼」Hash值b，精簡病毒代碼特徵信息，提高病毒庫的存儲率和檢索效率；特徵信息分類存儲模塊，將所述Hash值a和Hash值b合併為一條特徵信息，通過病毒庫管理部件的分類子表訪問接口存入相對應的病毒資料庫子表中；上述各模塊除了確認信息抽取模塊直接連接信息串單向Hash模塊外，其餘各模塊順序連接。
所述掃描引擎部件的結構組成包括程序類別映射模塊、核相鄰信息抽取模塊、確認信息抽取模塊、信息串單向Hash模塊和特徵信息檢索模塊，其中前四個模塊的功能與病毒特徵信息提取部件的對應模塊相同，區別是掃描對象為待測的程序樣本，而不是設定的病毒樣本；特徵信息檢索模塊是將「相鄰碼」Hash值a和「確認碼」Hash值b合併為一條特徵信息，再以該程序所屬類別為參數，在病毒庫管理部件中相對應的病毒庫子表中檢索是否存在該特徵值，以判斷該程序樣本是否為病毒。
為了達到上述目的，本發明還提供了一種使用病毒特徵提取和檢測裝置的提取和檢測病毒特徵的方法，其特徵在於採用分類映射方法，將對所有病毒樣本特徵進行匹配的操作，轉移到其中某一個分類的病毒資料庫子表中進行匹配，以提高掃描效率和病毒資料庫的容量；包括下述操作步驟(1)確定可執行程序的分類規則和所劃分的具體類別設計分類規則，並由程序樣本類別生成部件根據該分類規則產生一組符合該規則的分類類別，再將該組類別載入分類類別存儲部件中；
(2)以具體類別為依據對病毒庫管理部件進行初始化設置由病毒庫管理部件讀取分類類別存儲部件中存儲的類別信息，建立每個類別的病毒資料庫子表，並對其進行管理；(3)按照分類規則和具體類別對病毒樣本提取並保存分類特徵信息對於給定的病毒樣本，由病毒特徵信息提取部件分類提取該病毒樣本的特徵信息，再將提取的特徵信息存入病毒庫管理部件中；(4)按照分類規則和具體類別檢測待測樣本是否帶毒對於待測程序樣本，由掃描引擎部件先分類提取該待測樣本的特徵信息，再到病毒庫管理部件中檢索是否存在該特徵信息，以判斷待測樣本是否為病毒。
所述步驟(1)進一步包括以下操作內容(11)設計計算代價小的分類規則-按「核」分類，用於對給定的可執行程序樣本進行快速類別映射；(12)生成分類的類別由樣本類別生成部件產生一組符合分類規則的具體分類類別，要求分類結果均衡，即各個程序樣本被均勻映射到各個類別中；(13)保存生成的分類類別由分類類別存儲部件將樣本類別生成部件產生的分類類別進行存儲處理。
所述步驟(12)進一步包括以下操作內容(121)儘可能多地收集特定平臺下的程序樣本，以便用概率統計方法獲得該業務平臺下的程序代碼段的十六進位碼元的組合規律；(122)類別生成部件讀取程序樣本的文件頭信息，以便定位代碼段的起始位置，並獲取包括但不限於該代碼段字長的信息；(123)以設定的「核」字節長度為窗口，對樣本代碼段進行逐字移動採樣，並記錄每次掃描中的相關信息至少包括該「核」字節的出現次數、出現的樣本文件名，在該文件中的偏移位置；(124)在輸出統計信息時，根據設定條件過濾信息，刪除不符合要求的候選「核」的信息，以得到經過概率統計分析、分類均衡的「核」集；所述過濾條件至少包括出現頻率太低和太高的候選「核」，出現在填充字符區域的候選「核」，出現在文件開頭固定位置的候選「核」；(125)改變採樣窗口的「核」字節長度，重複上述步驟(122)～(124)，對所有程序樣本進行多次採樣，以便選擇分類均衡的「核」集。
所述步驟(3)進一步包括以下操作內容(31)對於給定的病毒樣本，病毒特徵信息提取部件從類別存儲部件讀取「核」集，根據分類規則和設定的Hash方法，從該樣本代碼段的起始位置開始順序掃描，快速判斷該病毒樣本的類別，即與其相匹配的第一個「核」的歸屬類別；(32)從病毒樣本中獲取「相鄰碼」由該「核」字節及其前、後相鄰接的設定長度的字節組成的字符串，所述「相鄰碼」的字長是W+2S，其中W為「核」字節字長，前、後相鄰接的字節設定字長均為S，S是大於8的正整數；(33)由抽取模塊在病毒代碼樣本段的前、中、尾部的設定位置分別截取數十個字節，並與該代碼段的字長信息組合，形成防止誤報的「確認碼」；(34)分別對「相鄰碼」和「確認碼」進行Hash運算，將其轉換為各自字長固定的「相鄰碼」Hash值a和「確認碼」Hash值b，以精簡病毒特徵信息；(35)將上述兩個Hash值a、Hash值b合併為一條病毒特徵信息的新記錄，存入病毒庫中與該病毒樣本類別相對應的資料庫子表裡。
所述步驟(4)進一步包括以下操作內容(41)對於給定的待測樣本，掃描引擎部件從類別存儲部件讀取「核」集，根據分類規則和設定的Hash方法，從該樣本代碼段的起始位置開始順序掃描，判斷該待測樣本的類別即與其匹配的第一個「核」的歸屬類別；(42)從待測樣本中獲取「相鄰碼」由該「核」字節及其前、後相鄰接的設定長度的字節組成的字符串，所述「相鄰碼」的字長是W+2S，其中W為「核」字節字長，前、後相鄰接的設定字節字長均為S，S是大於8的正整數；(43)由抽取模塊在該待測樣本代碼段的前、中、尾部的設定位置分別截取數十個字節，並與該代碼段的字長信息組合，形成防止誤報的「確認碼」；(44)分別對「相鄰碼」和「確認碼」進行Hash運算，將其轉換為各自字長固定的「相鄰碼」Hash值a和「確認碼」Hash值b，以精簡病毒特徵信息；
(45)將上述Hash值a、Hash值b合併為一條樣本特徵信息，再以步驟(41)中獲得的該程序所屬的類別為參數，在病毒庫管理部件中所對應的病毒資料庫子表中進行檢索，是否有與其匹配的特徵值，如果有，則該樣本攜帶有已知病毒；否則，表明該樣本沒有攜帶已知病毒。
所述方法進一步包括下述操作步驟(5)病毒庫管理部件中病毒資料庫的建立和更新病毒庫中的病毒特徵信息的創建和/或數據更新可以由該業務運營商的伺服器採用數字廣播系統的廣播方式、網際網路接入下載、簡訊SMS、彩信MMS、GPRS、藍牙、紅外、或USB棒讀卡器輸入移動/智能終端的病毒庫管理部件中的病毒資料庫。
眾所周知，病毒掃描、檢測的本質是進行特徵匹配。如何提高匹配的速度和效率是檢測方法成功與否的一個關鍵。本發明的創新之一是將廣義的「分層」技術運用到病毒特徵匹配中。具體做法是設計一種分類算法，該算法能夠將任何一種病毒樣本快速映射到事先定義好的某一個類別(如類別A)中，然後根據設定的算法流程提取該病毒樣本的代碼特徵信息，再將該特徵信息存入病毒特徵庫相應的分類子表中(即專門存儲某一類病毒特徵信息的資料庫子表)，這就是本發明的病毒特徵分類提取技術；當要判斷一個程序是否屬於目前已知病毒中的某一種時，先按照上述分類算法，分析出該程序所歸屬的類別，然後按照與上述相同的特徵信息提取流程計算或提取出該程序的特徵信息(完成一層映射)，再到病毒特徵庫中相對應的分類子表中檢索該特徵信息是否存在，如果存在，表明該程序或文件是一種已知病毒，如果不存在，則說明該程序或文件不是一種已知病毒(完成二層映射)，這就是本發明的分層映射掃描技術。
本發明的病毒特徵分類提取技術和分層映射掃描技術在快速模式匹配上的優點是避免了在一個規模極大的一維線性特徵庫中檢索某個特徵值，因為這將嚴重影響掃描性能。其實質是將一個大的目標檢索範圍(整個特徵庫)迅速圈定到一個相對較小的檢索範圍(某一個分類子表)。效果是在檢索性能不改變的情況下，數據特徵庫的總體規模可以得到很大程度的擴充，同時，如果特徵庫的規模一定，那麼特徵信息匹配速度將大幅提高。
總之，本發明的裝置及方法的優點簡述如下(1)掃描、檢測的速度快為了適應移動/智能終端內存小，主頻低的特點，本發明採用分類方法存儲病毒代碼特徵信息，能以極快的掃描速度根據病毒庫已存儲的病毒特徵判別程序或文件是否帶毒，極大地提高了模式判別的速度和效率。
(2)能適應病毒庫的規模增長一方面，病毒庫的規模增長對本發明掃描性能的負面影響很小。因為本發明的病毒特徵分類提取技術和與之相應的分層映射掃描技術，能在保證掃描性能的前提下，在病毒庫裡存儲海量的病毒特徵信息。經過測試，本發明裝置在存儲了數萬條病毒特徵後，仍能高速進行病毒檢測；另一方面，採用設定算法的優化處理後，病毒庫佔用的存儲空間很小，並且病毒特徵信息的存儲量增長緩慢，能很好地適應移動/智能終端存儲資源不足的特點。
(3)不漏報，不誤報本發明的分層映射掃描的檢測方法能夠使漏報和誤報的概率降到最低。
(4)自動提取病毒特徵本發明採用特徵分類提取方法提取病毒樣本特徵信息，並且提供相應的功能部件，用於批量自動地對多個病毒樣本進行特徵提取，不僅使得病毒特徵的提取更加快速準確，縮短了從獲得新病毒樣本到發布病毒庫升級包之間的時間間隔，還使傳統手工提取十六進位碼元特徵信息的繁重工作變得簡單方便、快捷可靠，大大降低了技術人員的操作複雜度。
(5)由該業務運營商的伺服器隨時將創建和/或更新後的病毒庫採用網際網路接入下載或者通過數字廣播系統(參見申請號200410101636.1的中國專利申請《基於數據廣播和移動終端的信息接收終端及信息發布系統》)的廣播方式向智能終端中的病毒庫管理部件更新病毒數據。其工作原理是將創建和/或更新的病毒數據作為發布信息的一個類別，傳遞給信息發布裝置，而後通過數字廣播系統到達接收及轉換裝置，最終通過信息輸出及配置管理裝置恢復出創建和/或更新病毒數據，並提供給本發明中的特徵信息分類管理部件(又稱病毒庫管理部件)使用。
因為未來的各種電子設備(如隨身聽、MP3播放器、電視機、電冰箱、汽車音響甚至電子詞典等)都將形成網絡實現互聯，因此病毒的危害除了手機之外，還會涉及更為廣泛的電子設備。通過數字廣播方式為這些設備提供病毒庫的創建和/或更新的優點是(A)廣播是覆蓋最寬廣的通信方式，超過電視網和網際網路，即使設備沒有連接到網際網路上，也可以實現病毒庫更新。(B)廣播系統的通信費用非常廉價，通過數字廣播系統發布病毒庫更新將有利於更廣泛的用戶能夠快速實現病毒庫更新，確保系統安全。(C)更新同步速度快通過網際網路進行病毒庫更新，一般需要通過終端和更新伺服器之間的通信來實現，因此實現大範圍(比如全國範圍內)病毒庫更新有較大的時延，而通過數字廣播系統的某個頻段在某個時間向全國廣播發布，可以讓全國範圍內的設備在同一時間接受到病毒更新，從而實現高速的同步更新。


圖1是本發明用於移動/智能終端進行病毒特徵分類提取和檢測的裝置的總體結構框圖。
圖2是本發明用於移動/智能終端進行病毒特徵分類提取和檢測的裝置的組成部件的內部結構框圖。
圖3是本發明的病毒特徵分類提取和檢測方法流程步驟方框圖。
圖4是某個程序樣本中分類基準「核」的字符串範例的示意圖。
圖5是本發明方法中的病毒類別生成的流程方框圖。
圖6是本發明裝置中的特徵信息分類管理部件的子表結構示意圖。
圖7是本發明方法中的病毒特徵信息提取流程方框圖。
圖8是本發明方法中對程序樣本進行病毒檢測的流程方框圖。
圖9是本發明一個實施例的裝置結構及其操作方法流程示意圖。
圖10是本發明另一個實施例的裝置結構及其操作方法流程示意圖。
具體實施萬式為使本發明的目的、技術方案和優點更加清楚，下面結合附圖對本發明作進一步的詳細描述。
參見圖1，本發明是一種用於移動/智能終端的病毒特徵提取和檢測裝置，該裝置由用於產生一組符合設定程序分類規則的分類類別的程序樣本類別生成部件1、分類類別存儲部件2、特徵信息分類管理部件3(即病毒庫管理部件)、病毒特徵信息提取部件4(即病毒特徵一鍵提取部件)和掃描引擎部件5組成。
其中程序樣本類別生成部件1產生一組符合設定的程序分類規則的分類類別，以供系統管理者將所產生的類別載入分類類別存儲部件2中。該分類類別能將某業務平臺的可執行程序按設定規則進行類別劃分，作為整個系統其他部件運行的前提和參照，所以一經生成並且存入分類類別存儲部件中後，不再變動(除非該裝置轉換到另一個業務平臺進行二次開發)。
分類類別存儲部件2用來存儲類別生成部件1所生成的具體類別信息，以供其它各部件讀取使用。病毒特徵信息提取部件4讀取類別信息作為病毒信息提取過程中病毒樣本分類的依據；掃描引擎部件5讀取類別信息作為病毒檢測過程中分類檢索的依據；病毒庫管理部件3讀取類別信息用來建立和管理對應於每個類別的資料庫子表，資料庫子表存儲有與各個類別對應的病毒特徵信息。
特徵信息分類管理部件3又稱病毒庫管理部件，根據分類類別存儲已有病毒樣本的特徵信息。它有一系列與各類別相對應的病毒庫分類子表，用於分別存儲已有的該類病毒樣本的特徵信息；還設有訪問接口和資料庫子表管理模塊，分別用於該部件與病毒特徵信息提取部件4和掃描引擎部件5的信息交互和管理。該部件初始化時，需要讀取分類類別存儲部件2中存儲的類別信息，以此建立和管理對應於每個類別的資料庫子表。病毒庫管理部件3分別與病毒特徵信息提取部件4和掃描引擎部件5發生交互。病毒特徵信息提取部件4將提取的病毒樣本特徵信息存入病毒庫管理部件3中相應類別的資料庫子表，病毒庫管理部件3為病毒特徵信息提取部件4提供數據信息交互的接口；掃描引擎部件5在病毒庫管理部件3中相應類別的資料庫子表檢索某個待測樣本的特徵信息是否存在，病毒庫管理部件3也為掃描引擎部件5提供數據訪問接口。
病毒特徵信息提取部件4提取病毒樣本的特徵信息，將提取的特徵信息存入到病毒庫管理部件3中。它是先根據分類類別存儲部件2中的類別信息，並結合分類規則對病毒樣本進行類別判斷，再根據設定方法提取病毒樣本特徵信息，並將其存入病毒庫管理部件3中相應的病毒類別資料庫子表。
掃描引擎部件5用來檢測一個待測樣本是否帶毒。它是先根據分類類別存儲部件2中的類別信息和分類規則對一個待測樣本進行類別判斷，然後用與病毒特徵信息提取流程相同的方法來提取被檢測樣本的特徵信息，再在病毒庫管理部件3中相應於該待測樣本類別的資料庫子表裡檢索該待測樣本的特徵信息是否已經存在，以此判斷該樣本是否是病毒。如果檢索到相同的特徵信息，表明該待測樣本帶毒。
圖2展示了本發明用於移動/智能終端進行病毒特徵分類提取和檢測的裝置的結構部件內部組成方框圖。
參見圖3，本發明還提出一種基於上述裝置的病毒特徵分類提取和檢測的方法採用分類提取技術—按照設定的分類規則和具體類別對病毒樣本進行分類—提取病毒的代碼特徵，並保存所提取的病毒代碼特徵信息，再採用分層映射掃描技術—按照定義的分類規則和具體類別—檢測程序樣本是否有病毒。該方法包含下述四個步驟(1)確定可執行程序的分類規則和所劃分的具體類別設計分類規則，並由程序樣本類別生成部件根據該分類規則產生一組符合該規則的分類類別，再由系統管理者將該組類別載入分類類別存儲部件中；(2)以具體類別為依據，對病毒庫管理部件進行初始化設置由病毒庫管理部件讀取分類類別存儲部件中存儲的類別信息，建立每個類別的病毒資料庫子表，並對其進行管理；(3)按照分類規則和具體類別對病毒樣本提取並保存分類特徵信息對於給定的病毒樣本，由病毒特徵信息提取部件分類提取該病毒樣本的特徵信息，再將提取的特徵信息存入病毒庫管理部件中；(4)按照分類規則和具體的類別檢測待測樣本是否帶毒對於某個待測樣本，由掃描引擎部件先分類提取該待測樣本的特徵信息(與步驟(3)中的病毒特徵信息提取過程一樣)，再到病毒庫管理部件中檢索是否存在該特徵信息，以判斷待測樣本是否為病毒。
下面將結合附圖，具體介紹本發明方法的各個操作步驟其中步驟(1)進一步包括以下操作內容(11)設計一種分類規則-按「核」分類要求其計算代價小，能對給定的可執行程序樣本進行快速類別映射。
本發明的「核」是一個長度大於等於3個字節的十六進位字符串(如0x300x44 0x7F)，即業務平臺中的十六進位碼元的字符特徵信息，用作對可執行程序樣本進行類別映射判斷的分類基準。「核」集則是一組「核」的集合，如 其中「核」1、「核」2、「核」3是對不同「核」的編號。
參見圖4所示的某個程序樣本中按「核」進行分類的範例示意。所謂按「核」分類是從某個程序樣本代碼段的起始位置開始掃描後，找到第一個匹配的「核」，則該樣本與該「核」歸屬同一個程序類別。假如從該圖所示程序樣本的代碼段起始位置開始掃描，第一個匹配的「核」是0x30 0x44 0x7F，則該樣本就屬於「核」1歸屬的那類程序；同理，如果另一個樣本第一個匹配的核是0x00 0x07 0x81，那麼該樣本就歸屬「核」2一類的程序。如果某一個樣本最後沒有找到任何一個匹配的「核」，就將它歸入單獨的一類。所以，當「核」集有n個「核」時，快速分類的程序樣本的類別共有n+1，其中n為正整數。對於一個可執行程序樣本，「核」集中任何一個「核」都有可能與樣本中的某一處發生匹配。
(12)生成分類的類別由樣本類別生成部件產生一組符合分類規則的具體分類類別，要求分類結果均衡，即各個程序樣本被均勻映射到各個類別中；
該步驟(12)進一步包括以下操作內容(參見圖5)(121)儘可能多地收集特定業務平臺下的可執行程序樣本，並將它們放入程序樣本類別生成部件的樣本遍歷模塊中，以便用概率統計方法獲得該平臺下的可執行程序代碼段的十六進位碼元的組合規律。
(122)類別生成部件的程序結構解析模塊讀取樣本的文件頭信息，獲得該代碼段的偏移位置和代碼段字長等信息。
(123)設定一個「核」的長度(如4)，樣本遍歷模塊以此長度為窗口開始逐個字節移動採樣，凡移動一次文件窗口，就在採樣信息記錄模塊中記錄該連續4個字節是否出現過、出現次數、出現的文件名是什麼，在文件中的偏移是多少等信息。
(124)輸出統計信息時，由條件過濾模塊進行信息過濾，刪除一些不符合要求的候選「核」，最後得到經過概率統計分析後的「核」集。條件過濾模塊的刪除條件是出現頻率太低或太高的候選「核」，如0x00 0x00 0x00 0x00；出現在填充字符區域的候選「核」；出現在文件開頭固定位置的候選「核」等，因為這些候選核將會破壞按「核」分類的均衡性。
(125)樣本遍歷模塊改變採樣的「核」的字長(如將4改成3)，重複步驟(122)～(124)的操作，即對所有程序樣本再次進行多次採樣，以便從長度不同的「核」集中擇優選擇分類均衡的十六進位碼元。
參見圖6，介紹本發明方法的步驟(2)的特點在對病毒庫管理部件進行初始化設置時，病毒庫管理部件的分類子表管理模塊從類別存儲部件中的「核」集存儲模塊讀取「核」集，為每個「核」建立對應的資料庫子表，用於存儲各個類別病毒程序的特徵信息。圖中顯示了具有n個核時的「核」集的病毒資料庫分類子表的結構(左側是分類索引，右側為每個分類子表；n個「核」把程序樣本空間分成了n+1類，所以資料庫有n+1個子表)。
參見圖7，具體介紹其中步驟(3)所包括的操作內容(31)對於給定的病毒樣本，病毒特徵信息提取部件中的程序類別映射模塊從類別存儲部件的「核」集存儲模塊讀取「核」集，並從樣本代碼段的起始位置開始掃描，根據分類規則和設定的Hash方法快速獲取該病毒的類別。假如該樣本第一個匹配的「核」為「核」w，那麼該程序就屬於「核」w類。程序類別映射模塊的主要作用是根據分類規則和結合分類類別存儲部件中保存的類別信息快速得出一個病毒樣本的類別。
(32)由核相鄰信息抽取模塊從病毒樣本中獲取「相鄰碼」由該「核」字節及其前、後相鄰接的設定長度的字節組成的字符串(「相鄰碼」的字長是W+2S，其中「核」字節字長W，前、後相鄰接的字節字長均為S，設定字長S是大於8的正整數)。
(33)由確認信息追加抽取模塊從病毒樣本代碼段的前、中、尾部的設定位置分別截取數十個字節，並與該代碼段的字長信息組合，形成「確認碼」，用作防止誤報而對病毒程序採取的一個附加的多維信息。
(34)信息串單向Hash模塊用Hash函數分別計算「相鄰碼」的Hash值a和「確認碼」的Hash值b，將這兩個字符串都轉換為各自字長固定的Hash值a、Hash值b，以精簡病毒特徵信息，提高病毒庫的存儲效率和碼值的檢索效率。
(35)特徵信息分類存儲模塊將上述兩個Hash值a、Hash值b合併為一條病毒特徵信息的新記錄，通過病毒庫管理部件中的分類子表訪問接口存入病毒庫中類別相對應的病毒資料庫子表中。
該步驟的特點是實現了病毒特徵的自動提取。如果要實現批量提取，只需在病毒特徵信息提取部件中加入樣本文件遍歷模塊，就能夠批量、自動地對多個病毒樣本進行特徵提取，使得傳統特徵碼的手工提取繁重工作變得簡單容易。
參見圖8，具體介紹其中步驟(4)所包括的操作內容(41)對於給定的待測樣本，掃描引擎部件的程序類別映射模塊從類別存儲部件讀取「核」集，根據分類規則和設定的Hash方法，從該樣本代碼段的起始位置開始順序掃描，判斷該待測樣本的類別即與其匹配的第一個「核」的歸屬類別；假如該樣本第一個匹配的「核」為「核」w，則該程序樣本就屬於「核」w類。(該步驟與步驟(31)的流程相同)(42)掃描引擎部件的核相鄰信息抽取模塊從待測程序樣本中獲取「相鄰碼」由該「核」字節及其前、後相鄰接的設定長度的字節組成的字符串(「相鄰碼」的字長是W+2S，其中「核」字節字長W，前、後相鄰接的字節字長均為S，其中設定字長S是大於8的正整數)。(該步驟與步驟(32)的流程相同)(43)由確認信息抽取模塊在該待測程序代碼樣本段的前、中、尾部的設定位置分別截取數十個字節，並與該代碼段的字長信息組合，形成防止誤報的「確認碼」。(該步驟與步驟(33)的流程相同)(44)信息串單向Hash模塊用Hash函數分別計算「相鄰碼」的Hash值a和「確認碼」的Hash值b，將這兩個字符串都轉換為各自字長固定的Hash值a、Hash值b，以精簡病毒特徵信息，提高病毒庫的存儲效率和碼值的檢索效率。(該步驟與步驟(34)的流程相同)(45)掃描引擎部件的特徵信息檢索模塊將上述Hash值a、Hash值b合併為一條樣本特徵，並且以步驟(41)中獲得的該程序樣本所屬的類別為參數，通過病毒庫管理部件中的分類子表訪問接口到病毒庫相應的子表(即「核」w對應的表)中檢索是否有與其匹配的特徵值，如果有的話，則該樣本是已知病毒，如果沒有，則表明不是已知病毒。
該步驟的特點是其中各個步驟(41)～(45)的操作流程與步驟(31)～(35)基本一樣，也就是說，掃描引擎部件和病毒特徵信息提取部件中的程序類別映射模塊、核相鄰信息抽取模塊、確認信息抽取模塊和信息串單向Hash模塊的四個模塊功能是相同的。區別在於特徵信息檢索模塊的掃描對象為待測的程序樣本，而不是設定的病毒樣本；並在病毒庫管理部件中相對應的病毒庫子表中檢索是否存在該特徵值，以判斷該代碼樣本是否為病毒。
該步驟是本發明分層映射掃描技術的代表其中步驟(41)～(44)完成一層映射，得到了待測樣本的所屬類別，並提取了待測樣本的特徵信息；步驟(45)完成二層映射，即在病毒庫管理部件的分類子表中檢索特徵信息是否存在。
本發明的方法進行了實施試驗，下面簡要介紹實施例的情況參見圖9，第一實施例是針對Symbian智慧型手機移動平臺。該Symbian平臺的運行程序有App，Dll，Exe等多種，編制相應的Symbian運行程序的「核」集採集部件對樣本進行信息採集，得到數十個符合系統運行要求的「核」。掃描引擎部件中的計算模塊使用二層映射掃描技術對待測文件進行靜態掃描，該計算模塊封裝在Symbian系統的客戶端/伺服器框架下構成掃描引擎部件。掃描引擎能異步、並發地被各個實時監控模塊所調用。病毒特徵信息提取部件採用MFC開發、運行在PC上，由反病毒公司的技術人員操作，以提取新病毒特徵來構建病毒庫升級包，病毒庫升級包實際上是一個病毒庫記錄添加腳本。再經由簡訊SMS、彩信MMS、GPRS，藍牙、紅外、USB棒讀卡器等各種途徑將其傳到手機後，被程序相應的升級部件解釋添加到資料庫中。實施例中的病毒庫存儲部件是直接使用Symbian自帶的DBMS，如果某個移動平臺不具備DBMS，病毒庫存儲部件也可以自行開發。該實施例的試驗是成功的，實現了發明目的。
參見圖9，第二實施例是用於智能家用電器的病毒特徵提取及檢測系統。由於網絡技術日益成熟和普及，具有上網功能的智能家用電器已經開始進入普通家庭。智能終端的普及和網絡化，給病毒傳播又帶來了新的途徑，所以本系統就是用於此場合。考慮到智能家用電器的非移動性，可以由該業務運營商的伺服器隨時將更新後的病毒庫採用網際網路接入下載或者通過數字廣播系統(參見申請號200410101636.1的中國專利申請《基於數據廣播和移動終端的信息接收終端及信息發布系統》)的廣播方式向智能終端中的病毒庫管理部件更新病毒數據。
此外，本發明的移動/智能終端的種類不僅包括移動通信手機、PDA筆記本電腦，還可以包括諸如隨身聽、MP3播放器、汽車音響甚至電子詞典等電子產品，它們都可以在機內安裝本發明裝置中的各個相關部件，以實現本發明的檢測方法，分享本發明的成果。
權利要求
1.一種用於移動/智能終端的病毒特徵提取和檢測裝置，其特徵在於該裝置包括下述組成構件程序樣本類別生成部件，用於產生一組符合設定程序分類規則的分類類別，以供管理者將所生成的類別載入分類類別存儲部件中；所述分類類別是將業務平臺的可執行程序按設定規則劃分的類別，作為整個裝置各部件的運行基礎和參照；該分類類別一旦存入存儲部件後，除進行二次開發外，不再變動；分類類別存儲部件，為存儲類別生成部件產生的類別信息，以供各部件讀取使用的分類類別集的存儲器；病毒特徵信息提取部件用該類別信息作為病毒信息提取過程中的病毒樣本分類依據，掃描引擎部件用其作為病毒檢測過程中的分類檢索依據，特徵信息分類管理部件用其建立與每個類別分別對應的病毒資料庫子表，以供存儲和管理與各個類別相對應的病毒樣本特徵信息；病毒特徵信息提取部件，負責根據分類類別存儲部件中的類別信息，並結合分類規則判斷病毒樣本的類別，再根據設定方法提取病毒樣本的特徵信息，然後將其存入病毒庫管理部件中與該病毒類別相對應的病毒資料庫子表；掃描引擎部件，根據分類類別存儲部件中的類別信息和分類規則，判斷待測樣本的類別，再根據設定方法提取被測樣本的特徵信息，然後在病毒庫管理部件中與該待測樣本類別相對應的病毒資料庫子表裡進行檢索，是否存在與其相同的特徵信息，藉此判斷該待測樣本是否為病毒；特徵信息分類管理部件，又稱病毒庫管理部件，根據分類類別存儲部件中的類別信息，設有與各個類別相對應的病毒資料庫子表，用於分別存儲已有的該類病毒樣本的特徵信息；還設有訪問接口和資料庫子表管理模塊，分別用於該部件與病毒特徵信息提取部件和掃描引擎部件的信息交互和管理。
2.根據權利要求1所述的病毒特徵提取和檢測裝置，其特徵在於所述設定程序的分類規則是按「核」分類從某個程序樣本代碼段的起始位置開始掃描後，找到第一個匹配的「核」，則該樣本與該「核」歸屬同一個程序類別；如果最後沒有找到任何一個匹配的「核」，則另行單獨歸屬一類；所述「核」是一個長度大於等於3個字節的十六進位字符串，即特定業務平臺中的十六進位碼元的字符特徵信息，用作對給定的可執行程序樣本進行類別映射判斷的分類基準。
3.根據權利要求1或2所述的病毒特徵提取和檢測裝置，其特徵在於所述「核」集是一組用作分類映射判斷基準的「核」的集合，當「核」集有n個「核」時，均衡快速分類的程序樣本的類別為n+1，其中n為正整數。
4.根據權利要求1或2所述的病毒特徵提取和檢測裝置，其特徵在於所述程序樣本類別生成部件包括下述順序連接的組成模塊樣本遍歷模塊，負責搜集、遍歷和保存設定場合的所有程序樣本，即對樣本根據設置的「核」字節長度為窗口進行移動採樣，使用概率統計方法獲得該平臺下的程序代碼段的十六進位碼元的組合規律；程序結構解析模塊，存儲有設定業務平臺程序的結構特徵信息，用於解析程序樣本的文件頭，以獲得代碼段的偏移位置，即定位代碼段的起始位置，並獲取代碼段的字長信息；採樣信息記錄模塊，用於記錄樣本遍歷模塊移動採樣時的各種信息至少包括特徵信息「核」字節的出現次數、出現的文件名，在文件中的偏移位置；條件過濾模塊，用於最後輸出統計信息前按照設定條件進行的信息過濾，刪除明顯不合要求的候選特徵信息，保證按「核」分類的均衡性。
5.根據權利要求1所述的病毒特徵提取和檢測裝置，其特徵在於所述病毒特徵信息提取部件包括下述組成模塊程序類別映射模塊，根據類別存儲部件中的類別信息，按照分類規則並結合Hash方法，從十六進位病毒樣本代碼段的起始位置順序掃描，尋找相匹配的「核」，藉此快速判斷該病毒樣本的類別；核相鄰信息抽取模塊，從所述病毒樣本中抽取「相鄰碼」-由「核」字節和與其前、後相鄰的設定長度的字節組成的字符串，該設定長度是大於8的正整數；確認信息抽取模塊，直接從十六進位病毒樣本代碼段的前、中、尾端的設定位置各取數十個字節，並與該代碼段的字長信息合併組成確認碼，用作防止誤報而從病毒樣本中抽取的附加信息；信息串單向Hash模塊，負責對「相鄰碼」和「確認碼」分別採用Hash運算將其轉換為兩者字長都是固定的「相鄰碼」Hash值a和「確認碼」Hash值b，精簡病毒代碼特徵信息，提高病毒庫的存儲率和檢索效率；特徵信息分類存儲模塊，將所述Hash值a和Hash值b合併為一條特徵信息，通過病毒庫管理部件的分類子表訪問接口存入相對應的病毒資料庫子表中；上述各模塊除了確認信息抽取模塊直接連接信息串單向Hash模塊外，其餘各模塊順序連接。
6.根據權利要求1或5所述的病毒特徵提取和檢測裝置，其特徵在於所述掃描引擎部件的結構組成包括程序類別映射模塊、核相鄰信息抽取模塊、確認信息抽取模塊、信息串單向Hash模塊和特徵信息檢索模塊，其中前四個模塊的功能與病毒特徵信息提取部件的對應模塊相同，區別是掃描對象為待測的程序樣本，而不是設定的病毒樣本；特徵信息檢索模塊是將「相鄰碼」Hash值a和「確認碼」Hash值b合併為一條特徵信息，再以該程序所屬類別為參數，在病毒庫管理部件中相對應的病毒庫子表中檢索是否存在該特徵值，以判斷該程序樣本是否為病毒。
7.一種使用權利要求1所述的病毒特徵提取和檢測裝置的提取和檢測病毒特徵的方法，其特徵在於採用分類映射方法，將對所有病毒樣本特徵進行匹配的操作，轉移到其中某一個分類的病毒資料庫子表中進行匹配，以提高掃描效率和病毒資料庫的容量；包括下述操作步驟(1)確定可執行程序的分類規則和所劃分的具體類別設計分類規則，並由程序樣本類別生成部件根據該分類規則產生一組符合該規則的分類類別，再將該組類別載入分類類別存儲部件中；(2)以具體類別為依據對病毒庫管理部件進行初始化設置由病毒庫管理部件讀取分類類別存儲部件中存儲的類別信息，建立每個類別的病毒資料庫子表，並對其進行管理；(3)按照分類規則和具體類別對病毒樣本提取並保存分類特徵信息對於給定的病毒樣本，由病毒特徵信息提取部件分類提取該病毒樣本的特徵信息，再將提取的特徵信息存入病毒庫管理部件中；(4)按照分類規則和具體類別檢測待測樣本是否帶毒對於待測程序樣本，由掃描引擎部件先分類提取該待測樣本的特徵信息，再到病毒庫管理部件中檢索是否存在該特徵信息，以判斷待測樣本是否為病毒。
8.根據權利要求7所述的提取和檢測病毒特徵的方法，其特徵在於所述步驟(1)進一步包括以下操作內容(11)設計計算代價小的分類規則-按「核」分類，用於對給定的可執行程序樣本進行快速類別映射；(12)生成分類的類別由樣本類別生成部件產生一組符合分類規則的具體分類類別，要求分類結果均衡，即各個程序樣本被均勻映射到各個類別中；(13)保存生成的分類類別由分類類別存儲部件將樣本類別生成部件產生的分類類別進行存儲處理。
9.根據權利要求8所述的提取和檢測病毒特徵的方法，其特徵在於所述步驟(12)進一步包括以下操作內容(121)儘可能多地收集特定平臺下的程序樣本，以便用概率統計方法獲得該業務平臺下的程序代碼段的十六進位碼元的組合規律；(122)類別生成部件讀取程序樣本的文件頭信息，以便定位代碼段的起始位置，並獲取包括但不限於該代碼段字長的信息；(123)以設定的「核」字節長度為窗口，對樣本代碼段進行逐字移動採樣，並記錄每次掃描中的相關信息至少包括該「核」字節的出現次數、出現的樣本文件名，在該文件中的偏移位置；(124)在輸出統計信息時，根據設定條件過濾信息，刪除不符合要求的候選「核」的信息，以得到經過概率統計分析、分類均衡的「核」集；所述過濾條件至少包括出現頻率太低和太高的候選「核」，出現在填充字符區域的候選「核」，出現在文件開頭固定位置的候選「核」；(125)改變採樣窗口的「核」字節長度，重複上述步驟(122)～(124)，對所有程序樣本進行多次採樣，以便選擇分類均衡的「核」集。
10.根據權利要求7所述的提取和檢測病毒特徵的方法，其特徵在於所述步驟(3)進一步包括以下操作內容(31)對於給定的病毒樣本，病毒特徵信息提取部件從類別存儲部件讀取「核」集，根據分類規則和設定的Hash方法，從該樣本代碼段的起始位置開始順序掃描，快速判斷該病毒樣本的類別，即與其相匹配的第一個「核」的歸屬類別；(32)從病毒樣本中獲取「相鄰碼」由該「核」字節及其前、後相鄰接的設定長度的字節組成的字符串，所述「相鄰碼」的字長是W+2S，其中W為「核」字節字長，前、後相鄰接的字節設定字長均為S，S是大於8的正整數；(33)由抽取模塊在病毒代碼樣本段的前、中、尾部的設定位置分別截取數十個字節，並與該代碼段的字長信息組合，形成防止誤報的「確認碼」；(34)分別對「相鄰碼」和「確認碼」進行Hash運算，將其轉換為各自字長固定的「相鄰碼」Hash值a和「確認碼」Hash值b，以精簡病毒特徵信息；(35)將上述兩個Hash值a、Hash值b合併為一條病毒特徵信息的新記錄，存入病毒庫中與該病毒樣本類別相對應的資料庫子表裡。
11.根據權利要求7所述的提取和檢測病毒特徵的方法，其特徵在於所述步驟(4)進一步包括以下操作內容(41)對於給定的待測樣本，掃描引擎部件從類別存儲部件讀取「核」集，根據分類規則和設定的Hash方法，從該樣本代碼段的起始位置開始順序掃描，判斷該待測樣本的類別即與其匹配的第一個「核」的歸屬類別；(42)從待測樣本中獲取「相鄰碼」由該「核」字節及其前、後相鄰接的設定長度的字節組成的字符串，所述「相鄰碼」的字長是W+2S，其中W為「核」字節字長，前、後相鄰接的設定字節字長均為S，S是大於8的正整數；(43)由抽取模塊在該待測樣本代碼段的前、中、尾部的設定位置分別截取數十個字節，並與該代碼段的字長信息組合，形成防止誤報的「確認碼」；(44)分別對「相鄰碼」和「確認碼」進行Hash運算，將其轉換為各自字長固定的「相鄰碼」Hash值a和「確認碼」Hash值b，以精簡病毒特徵信息；(45)將上述Hash值a、Hash值b合併為一條樣本特徵信息，再以步驟(41)中獲得的該程序所屬的類別為參數，在病毒庫管理部件中所對應的病毒資料庫子表中進行檢索，是否有與其匹配的特徵值，如果有，則該樣本攜帶有已知病毒；否則，表明該樣本沒有攜帶已知病毒。
12.根據權利要求7所述的提取和檢測病毒特徵的方法，其特徵在於所述方法進一步包括下述操作步驟(5)病毒庫管理部件中病毒資料庫的建立和更新病毒庫中的病毒特徵信息的創建和/或數據更新可以由該業務運營商的伺服器採用數字廣播系統的廣播方式、網際網路接入下載、簡訊SMS、彩信MMS、GPRS、藍牙、紅外、或USB棒讀卡器輸入移動/智能終端的病毒庫管理部件中的病毒資料庫。
全文摘要
一種用於移動/智能終端的病毒特徵提取和檢測裝置和方法，該裝置由程序樣本類別生成部件、分類類別存儲部件、特徵信息分類管理部件(病毒庫管理部件)、病毒特徵信息提取部件和掃描引擎部件組成。該方法是採用分類提取技術—按照分類規則和具體類別對病毒樣本進行分類—提取病毒的代碼特徵，並保存所提取的病毒特徵信息，再採用分層映射掃描技術—按照分類規則和具體類別—檢測程序樣本是否有病毒。本發明能夠適應移動/智能終端內存小、主頻低的特點，以極快的掃描速度根據已存儲的病毒特徵判斷文件是否帶毒，做到不漏報，不誤報。同時，在保持優良掃描性能的前提下，存儲海量病毒特徵信息，為移動/智能終端設備及時防衛病毒侵害的一種有效技術手段。
文檔編號H04Q7/32GK1752888SQ20051011567
公開日2006年3月29日 申請日期2005年11月8日 優先權日2005年11月8日
發明者傅達, 林宇, 鄒仕洪, 張躍兵, 王延魏, 李志 , 白恩, 楊驍 , 佟方 申請人:朱林