用于网络附加存储系统防病毒的进程调度方法
【技术领域】
[0001] 本发明涉及一种计算机进程调度方法,尤其涉及一种用于网络附加存储(Network Attached Storage,简称为NAS)系统防病毒的进程调度方法,属于网络安全技术领域。
【背景技术】
[0002] NAS是目前发展最为迅猛的网络存储系统,也是性价比最高的存储方式之一。在 现有技术中,普遍使用NAS系统作为局域网环境下的、基于B/S架构(即浏览器/服务器架 构)的大容量共享存储设备。图1显示了一个典型的NAS系统的网络拓扑架构。如图1所 示,NAS系统包括存储器件(如硬盘阵列、⑶或DVD驱动器、磁带驱动器或可移动的存储介 质)和NAS服务器。NAS服务器上装有专门的操作系统,通常是简化的Unix/Linux操作系 统,或者是一个特殊的Win 2000内核,它为文件系统管理和访问做了专门的优化。NAS服务 器充当远程文件服务器,利用NFS、SMB/CIFS、FTP等协议对外提供文件级的访问。
[0003] 在NAS系统中,采用专用的文件服务器(即NAS服务器)管理文件存储系统,实现 数据存储。NAS服务器作为一个核心被所有客户端(包括Samba/Wind〇Ws、NFS和FTP等客 户端)用户访问,但不承担应用服务。NAS服务器通过一个文件系统管理磁盘阵列,存取磁 盘阵列上的文件,并管理相应的网络安全和访问授权。NAS系统根据应用服务器或客户端计 算机发出的指令,完成对其文件的管理,并采用UDP或TCP协议提供标准化访问服务,能够 在异构服务器间共享数据。
[0004] 目前,由于NAS系统所具有的跨平台、安装及扩充简便、易于管理维护和安全等特 点,已经大量用作网络中文件服务器的替代品。因此,NAS系统的安全性越来越受到用户的 重视。例如在申请号为201310008610. 1的中国专利申请中,IBM公司公开了一种处理外部 防病毒服务器和存储设备之间的连接错误的方法。存储设备配备内部防病毒服务器。在存 储设备上的防病毒7Π 数据库中存储描述防病毒扫描的防病毒7Π 数据。监控外部防病毒服务 器和存储设备之间的连接。外部防病毒服务器在存储设备上执行防病毒扫描。如果连接发 生故障,则将防病毒扫描的控制从外部防病毒服务器传递给内部防病毒服务器。内部防病 毒服务器基于防病毒元数据确定在哪里开始。当连接恢复时,将控制传递回外部防病毒服 务器。
[0005] 另外,在申请号为201310004132. 7的中国专利申请中,进一步公开了一种防计算 机病毒的NAS存储系统及查杀计算机病毒的方法。该NAS存储系统包括处理器,连接处理 器的文件控制处理器,接口控制器和多个盘驱动器,还包括连接文件控制处理器的病毒查 杀模块,所述处理器将所述主机接口、文件控制处理器和多个盘驱动器逻辑区分为多个单 元,文件控制处理器将所述接口控制器、处理器和多个盘驱动器中的每一个的逻辑分区分 配给所述多个单元的每一个,以及使所述每一个单元作为独立的存储单元。该技术方案通 过设置逻辑分区和病毒查杀模块将查杀的计算机病毒隔离于逻辑分区中,避免用户的非法 操作,也避免隔离的计算机病毒感染NAS存储系统的文件,保障NAS存储系统的用户操作的 安全性。
[0006] 但是,NAS作为一种嵌入式网络附加存储系统,与其他嵌入式设备一样,内存和 CPU资源均比较有限。而防病毒操作需要占用相当多的内存和CPU资源,在使用过程中往往 发生进程之间的冲突,严重影响用户的使用体验。
【发明内容】
[0007] 针对现有技术的不足,本发明所要解决的技术问题在于提供一种用于网络附加存 储系统防病毒的进程调度方法。
[0008] 为实现上述的发明目的,本发明采用下述的技术方案:
[0009] -种用于网络附加存储系统防病毒的进程调度方法,包括如下步骤:
[0010] 将防毒服务子进程作为一级子进程,监控进程、单文件实时杀毒进程、TCP指令处 理服务进程作为二级子进程,各二级子进程由所述一级子进程进行调度;
[0011] 在网络附加存储系统运行时,所述防毒服务子进程首先启动各二级子进程,然后 进入监控各二级子进程的状态;当出现严重消耗资源的操作时,所述防毒服务子进程将内 存和CPU资源由预定的二级子进程独占使用,同时暂时终止其它的二级子进程。
[0012] 其中较优地,当某个进程意外终止时,克隆一个新的进程代替终止的进程进行工 作。
[0013] 其中较优地,当某个二级子进程意外终止时,所述防毒服务子进程接收所述二级 子进程的退出码,根据退出码的数值决定后续的处理。
[0014] 其中较优地,需要彼此通信的各二级子进程之间独立进行工作,由一级父进程统 一进行进程调度。
[0015] 其中较优地,所述TCP指令处理服务进程与所述防毒服务子进程事先约定退出码 的数值及其代表的含义,在接收到全面杀毒或更新病毒库命令时,所述TCP指令处理服务 进程退出自己,并释放事先约定的退出码,所述防毒服务子进程收到所述退出码后,暂时终 止所述监控进程和所述单文件实时杀毒进程。
[0016] 其中较优地,所述二级子进程中还包括全面杀毒进程;所述全面杀毒进程按需启 动,在全面扫描杀毒后进程终止,这时所述防毒服务子进程启动被暂时终止的所述监控进 程和所述单文件实时杀毒进程。
[0017] 其中较优地,所述二级子进程中还包括病毒库更新进程;所述病毒库更新进程按 需启动,在更新病毒库后进程终止,这时所述防毒服务子进程启动被暂时终止的所述监控 进程和所述单文件实时杀毒进程。
[0018] 其中较优地,使用Linux操作系统的crontab定时任务命令对所述全面杀毒进程 和所述病毒库更新进程进行配置。
[0019] 其中较优地,所述监控进程由Linux操作系统的Inotify监控机制实现。
[0020] 与现有技术相比较,本发明所提供的进程调度方法通过独特的进程保护机制、重 任务独占策略和非常规进程通信模式,很好地在NAS这种硬件资源紧张的网络存储设备上 实现了复杂多样的进程控制,使得NAS系统上的关键进程可以按需独占系统资源。
【附图说明】
[0021] 图1为一个典型的NAS系统的网络拓扑架构示意图;
[0022] 图2为本发明所提供的进程调度方法中,各个进程之间的逻辑关系示意图。
【具体实施方式】
[0023] 下面结合附图和具体实施例对本发明的技术内容展开详细具体的说明。
[0024] 前已述及,NAS是一种嵌入式网络附加存储系统,与其他嵌入式设备一样,内存和 CPU资源均比较有限。为了在NAS系统提供正常文件服务的同时,不影响防病毒功能的实 现,本发明提供了一种具有独创性的进程调度方法。该方法具体包括进程按需启动和实时 保护、重任务独占策略和非常规进程通信等几个方面,具体说明如下:
[0025] 在本发明所提供的进程调度方法中,将防毒服务子进程作为一级子进程。该防毒 服务子进程负责管理和调度多种二级子进程,这些二级子进程分别用于实现处理用户指 令、监控目录新增文件、实时扫描杀毒、进程保护等功能。多种二级子进程之间按需启动或 停止,使防毒服务子进程在NAS系统以最少的资源开销完成用户的指令。例如用户发出全 面杀毒指令时,需要暂停监控和实时杀毒等相关二级子进程。后文对此有进一步的说明。
[0026] 如图2所示,在作为一级子进程的防毒服务子进程之下,至少还包括监控进程、单 文件实时杀毒进程、TCP指令处理服务进程、全面杀毒进程和病毒库更新进程等多个二级子 进程。其中,监控进程基于Inotify监控机制实现,因此也称为Inotify监控进程。该监控 进程用于监控特定多个目录及子目录,当NAS系统中出现新增文件时,向单文件实时杀毒 进程发送消息,通知它进行杀毒。单文件实时杀毒进程在进程的管道一端守候,当有新增文 件消息时,对该新增文件进行杀毒。TCP指令处理服务进程用于接收控制端发来的指令并处 理,包括:立即批量扫描,立即更新病毒库,查看日志,删除含病毒文件等等。当接收到立即 批量扫描指令时,TCP指令处理服务进程会退出自己,退出码为特定数值;防毒服务子进程 接收到该特定的退出码,会依次终止掉监控进程和单文件实时杀毒进程,然后启动全面杀 毒进程进行杀毒。这时,NAS系统可以执行重任务独占策略,即当NAS系统需要全盘扫描或 更新病毒库时,由于这样的操作对于嵌入式设备来说属于严重消耗资源的操作处理,因此 需要暂停实时病毒防护。为此,在本发明中暂时终止实时防护的相关进程,以节省出有限的 资源。具体地说,此时只有TCP指令处理服务进程和全面杀毒进程在工作,其他二代子进程 都已暂时终止,释放出自己所占资源供全面杀毒进程使用。需要说明的是,上述的重任务独 占策略并不限于由TCP指令处理服务进程和全面杀毒进程独占内存和CPU资源。在具体实 践中,也可以指定其它的二代子进程如单文件实时杀毒进程、病毒库更新进程等执行重任 务独占策略。
[0027] 在上述的各个二级子进程中,监控进程、单文件实时杀毒进程、TCP指令处理服务 进程属于常驻子进程。其中,监控进程得到新增文件消息后,通过管道将文件路径发给单文 件实时杀毒进程,由它执行杀毒操作。TCP指令处理服务进程则处理客户端的指令如:更新 配置,查看日志等。TCP指令处理服务进程可以通过它的父进程一防毒服务子进程暂时终止 监控进程、单文件实时杀毒进程以释放紧缺的内存和CPU资源,以便进行全面杀毒或更新 病毒库的工作。
[0028] 全面杀毒进程和病毒库更新进程属于非常驻进程,可以由防毒服务子进程启动或 Linux操作系统定时启动。例如全面杀毒进程根据用户的需要进行启动,在全面扫描杀毒 后进程终止,这时防毒服务子进程会启动先前被暂时终止的监控进程和单文件实时杀毒进 程。病毒库更新进程也是一个按需启动的进程,在更新病毒库后该进程终止,这时防毒服务 子进程会启动先前被暂时终止的监控进程和单文件实时杀毒进程。
[0029] 在本发明中,对各个子进程采取特殊的进程保护机制,即当某一个防毒服务子进 程意外终止(或死亡)后,会克隆一个新的防毒服务子进程作为一级子进程,从而保障NAS 系统始终持续提供防病毒服务。另外,防毒服务子进程首先启动其它二级子进程,然后进入 监控二级子进程的状态。这时,它有两个功能:
[0030] 1.当有某个二级子进程意外终止(或死亡)时,它会启动一个新的二级子进程代 替死亡进程进行工作;
[0031] 2.接收二级子进程的退出码,