一种提高重复扫描文件速度的系统及方法

专利名称：一种提高重复扫描文件速度的系统及方法
技术领域：
本发明涉及计算机网络领域，尤其涉及一种提高重复扫描文件速度的系统及方法。
背景技术：
目前，网络安全杀毒软件对文件扫描是通过文件遍历的形式且对每一个文件都进行一系列的特征提取和特征匹配，并对该文件进行远程云端鉴定，来实现对该文件的检测。就在提取特征、特征匹配、远程云端鉴定等处理上消耗了大量的检测时间。而对于已经 扫描过文件也进行了与第一次扫描同样的工作，这样不但大量消耗检测时间而且也占用了大量系统资源。那么，对于如何快速扫描文件并进行最有效的处理成为急迫需要解决的问题。

发明内容
经上述所提出的问题，本发明针对两次以上扫描重复扫描“相同文件”所提出一种提高文件重复扫描速度的系统及方法，具体发明内容如下
一种提高重复扫描文件速度的系统，其特征在于，包括
构建模块，用于建立云缓存信息库，其中，所述的云缓存信息库包括黑名单、白名单； 提取模块，用于对文件进行初次扫描并提取初次扫描文件的文件信息；
存储模块，用于根据提取初次扫描文件的文件信息将初次扫描文件存储到云缓存信息
库；
重复扫描模块，用于判断初次扫描文件是否存在病毒误报，并将判断出的病毒文件发送到杀毒引擎模；
杀毒引擎模块，接收重复扫描模块投递文件病毒信息进行鉴定，
如果杀毒引擎检测出是病毒文件，则向远程云端进行文件病毒鉴定；
如果杀毒引擎模块检测出不是病毒文件，则存储到云缓存信息库白名单中；
远程云端，接收杀毒引擎模块发送的鉴定结果进行分析并存储到云缓存信息库中。所述的文件信息包括文件的MD5值、文件大小。其特征在于，所述的存储模块包括
检测初次扫描文件是否是病毒文件；
如果是病毒文件，则放入云缓存信息库的黑名单中；
如果不是病毒文件，则放入云缓存信息库的白名单中。所述的重复扫描模块包括
扫描单元，对初次扫描文件进行重复扫描；
检测单元，根据初次扫描文件的文件信息判断重复扫描文件与云缓存信息库中文件是否匹配；
如果重复扫描文件与云缓存信息库文件匹配，则确定是在白名单还是黑名单中；如果重复扫描文件在白名单中，则跳过病毒扫描；
如果重复扫描文件在黑名单中，则确定为病毒文件；
如果重复扫描文件与云缓存库信息库文件不匹配，则投递给杀毒引擎模块检测是否为病毒文件。所述的向远程云端进行文件病毒鉴定包括
如果远程端鉴定是病毒文件，则存储到云缓存信息库黑名单中；
如果远程云端鉴定不是病毒文件，则存储到云缓存信息库白名单中。适应于所述的一种提高重复扫描文件速度的系统，包括
建立云缓存信息库，其中，所述的云缓存信息库包括黑名单、白名单；
对文件进行初次扫描并提取初次扫描文件的文件信息；
根据提取初次扫描文件的文件信息将初次扫描文件存储到云缓存信息库；
判断初次扫描文件是否存在病毒误报，并将判断出的病毒文件发送到杀毒引擎模； 杀毒引擎模接收重复扫描模块投递文件病毒信息进行鉴定；
如果杀毒引擎检测出是病毒文件，则向远程云端进行文件病毒鉴定；
如果杀毒引擎模块检测出不是病毒文件，则存储到云缓存信息库白名单中。所述的文件信息包括文件的MD5值、文件大小。其特征在于，所述的根据提取初次扫描文件信息将初次扫描文件存储到云缓存信息库包括
检测初次扫描文件是否是病毒文件；
如果是病毒文件，则放入云缓存库信息库的黑名单中；
如果不是病毒文件，则放入云缓存库信息库的白名单中。所述的判断初次扫描文件是否存在病毒及确定是病毒文件的是否存储误报包括
对初次扫描文件进行重复扫描；
根据初次扫描文件的文件信息判断重复扫描文件与云缓存信息库中文件是否匹配；
如果重复扫描文件与云缓存信息库文件匹配，则确定是在白名单还是黑名单中；
如果重复扫描文件在白名单中，则跳过病毒扫描；
如果重复扫描文件在黑名单中，则确定为病毒文件；
如果重复扫描文件与云缓存库文件不匹配，则投递给杀毒引擎模块检测是否为病毒文件。所述的向远程云端进行文件病毒鉴定包括
如果远程端鉴定是病毒文件，则存储到云缓存信息库黑名单中；
如果远程云端鉴定不是病毒文件，则存储到云缓存信息库白名单中。本发明提供一种提高重复扫描文件速度的系统及方法，通过构建模块建立云缓存信息库，由提取模块提取初次文件扫描的文件信息并根据提取的信息存储到存储模块中再把初次扫描的文件分配到云缓存信息库中，在重复扫描模块中进行该文件是否初次判定确，即与云缓存信息库中相应的文件匹配，如果云缓存信息库中没有相匹配文件则投递给杀毒引擎进行判定，如果杀毒引擎检测出是病毒文件则最终交由远程云端确认，再反馈给云缓存信息库中；所提出一种适应于该系统的方法同样解决了对相同文件进行两次以上的重复扫描时只需与云缓存信息库文件匹配就可以对该文件进行相应处理；通过上述所提发明解决了大量消耗检测时间而且也占用了大量系统资源的问题。


为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图I为一种提高重复扫描文件速度的系统结构 图2为一种提高重复扫描文件速度的方法流程图； 图3为一种提高重复扫描文件速度的方法中将初次扫描文件存储到云缓存信息库的方法流程 图4为一种提高重复扫描文件速度的方法中判断初次扫描文件的方法流程 图5为一种提高重复扫描文件速度的方法中远程云端判断初次扫描文件流程图。
具体实施例方式为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明。一种提高重复扫描文件速度的系统，如图I所示，包括
101构建模块，用于建立云缓存信息库，其中，所述的云缓存信息库包括黑名单、白名
单；
102提取模块，用于对文件进行初次扫描并提取初次扫描文的文件信息；
103存储模块，用于根据提取初次扫描文件的文件信息将初次扫描文件存储到云缓存信息库；
104重复扫描模块，用于重复扫描判断初次扫描文件是否存在病毒误报；
105杀毒引擎模块，接收重复扫描模块投递文件病毒信息进行鉴定，
如果杀毒引擎检测出是病毒文件，则向远程云端进行文件病毒鉴定；
如果杀毒引擎模块检测出不是病毒文件，则存储到云缓存信息库白名单中；
106远程云端，接收杀毒引擎模块发送的鉴定结果进行分析并存储到云缓存信息库中。所述的文件信息包括文件的MD5值、文件大小。所述的存储模块103包括
检测初次扫描文件是否是病毒文件；
如果是病毒文件，则放入云缓存信息库的黑名单中；
如果不是病毒文件，则放入云缓存信息库的白名单中。所述的重复扫描模块104包括
104-1扫描单元，对初次扫描文件进行重复扫描；
104-2检测单元，根据初次扫描文件的文件信息判断重复扫描文件与云缓存信息库中文件是否匹配；如果重复扫描文件与云缓存信息库文件匹配，则确定是在白名单还是黑名单中；
如果重复扫描文件在白名单中，则跳过病毒扫描；
如果重复扫描文件在黑名单中，则确定为病毒文件；
如果重复扫描文件与云缓存库信息库文件不匹配，则投递给杀毒引擎模块检测是否为病毒文件；此处所提到与缓存库信息库文件不匹配，是指如果重复扫描文件为白名单中文件而初次扫描为黑名单文件，那么这就是与缓存库信息库文件不匹配。所述的投递给杀毒引擎模块105检测是否为病毒文件包括
如果远程端鉴定是病毒文件，则存储到云缓存信息库黑名单中；
如果远程云端鉴定不是病毒文件，则存储到云缓存信息库白名单中。 针对上述所提出的系统进一步解释为，针对相同文件进行第二次以上扫描(含第二次扫描)可以直接由重复扫描模块进行检测处理，即可以提高对文件扫描速度。一种提高重复扫描文件速度的方法，适应于所述的一种提高重复扫描文件速度的系统，如图2所示,包括
S201建立云缓存信息库，其中，所述的云缓存信息库包括黑名单、白名单；
S202对文件进行初次扫描并提取初次扫描文件的文件信息；
S203根据提取初次扫描文件的文件信息将初次扫描文件存储到云缓存信息库；
S204判断初次扫描文件是否存在病毒误报，并将判断出的病毒文件发送到杀毒引擎
模；
S205杀毒引擎模接收重复扫描模块投递文件病毒信息进行鉴定，
如果杀毒引擎检测出是病毒文件，则执行步骤S206向远程云端进行文件病毒鉴定；如果杀毒引擎模块检测出不是病毒文件，则执行步骤S207存储到云缓存信息库白名单中。S206向远程云端进行文件病毒鉴定；
S207存储到云缓存信息库白名单中。所述的文件信息包括文件的MD5值、文件大小。所述的根据提取初次扫描文件信息将初次扫描文件存储到云缓存信息库S203，如图3所示,包括
S301将初次扫描文件存储到云缓存信息库；
S302检测初次扫描文件是否是病毒文件；
如果是病毒文件，则执行步骤S303放入云缓存库信息库的黑名单中；
如果不是病毒文件，则执行步骤S304放入云缓存库信息库的白名单中；
S303放入云缓存库信息库的黑名单中；
S304放入云缓存库信息库的白名单中。所述的判断初次扫描文件是否存在病毒及确定是病毒文件的是否存储误报S204，如图4所示,包括
S401对初次扫描文件进行重复扫描；
S402根据初次扫描文件的文件信息判断重复扫描文件与云缓存信息库中文件是否匹
配；
如果重复扫描文件与云缓存信息库文件匹配，则执行步骤S403确定是在白名单还是黑名单中，即判断是否在白名单中否则就在黑名单中；
如果重复扫描文件在白名单中，则执行步骤S404跳过病毒扫描；
如果重复扫描文件在黑名单中，则执行步骤S405确定为病毒文件；
如果重复扫描文件与云缓存库文件不匹配，则执行步骤S406投递给杀毒引擎模块检测是否为病毒文件；
S403确定是在白名单还是黑名单中，即判断是否在白名单中否则就在黑名单中；
S404跳过病毒扫描；
S405确定为病毒文件； S406投递给杀毒引擎模块检测是否为病毒文件。所述的向远程云端进行文件病毒鉴定S205，如图5所示，包括
S501远程云端进行文件病毒鉴定；
S502远程云端判断是否为病毒文件；
如果远程端鉴定是病毒文件，则执行步骤S503存储到云缓存信息库黑名单中；
如果远程云端鉴定不是病毒文件，则执行步骤S504存储到云缓存信息库白名单中； S503存储到云缓存信息库黑名单中；
S504存储到云缓存信息库白名单中。本发明提出一种提高重复扫描文件速度的系统及方法，其中所述的系统主要通过建立云缓存信息库并由提取模块、存储模块分析后向云缓存库进行第一次存储，当对同一文件进行两次或两次以上的扫描则直接通过云缓存信息库中文件进行文件匹配，如果云缓存信息库中没有此文件那么则对过杀毒引擎与远程云端进行鉴定并将最终结果发送给云缓存信息库；本发明还对所提系统提出一种提高重复扫描文件速度的方法，通过此方法可以在提高文件扫描速度与减少资源浪费的提前下对文件进行准确快速的扫描。虽然通过实施例描绘了本发明，本领域普通技术人员知道，本发明有许多变形和变化而不脱离本发明的精神，希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
权利要求
1.一种提高重复扫描文件速度的系统，其特征在于，包括 构建模块，用于建立云缓存信息库，其中，所述的云缓存信息库包括黑名单、白名单； 提取模块，用于对文件进行初次扫描并提取初次扫描文件的文件信息； 存储模块，用于根据提取初次扫描文件的文件信息将初次扫描文件存储到云缓存信息库； 重复扫描模块，用于判断初次扫描文件是否存在病毒误报，并将判断出的病毒文件发送到杀毒引擎模； 杀毒引擎模块，接收重复扫描模块投递文件病毒信息进行鉴定； 如果杀毒引擎检测出是病毒文件，则向远程云端进行文件病毒鉴定； 如果杀毒引擎模块检测出不是病毒文件，则存储到云缓存信息库白名单中； 远程云端，接收杀毒引擎模块发送的鉴定结果进行分析并存储到云缓存信息库中。
2.如权利要求I所述的系统，其特征在于，所述的文件信息包括文件的MD5值、文件大小。
3.如权利要求I所述的系统，其特征在于，所述的存储模块包括 检测初次扫描文件是否是病毒文件； 如果是病毒文件，则放入云缓存信息库的黑名单中； 如果不是病毒文件，则放入云缓存信息库的白名单中。
4.如权利要求I所述的系统，其特征在于，所述的重复扫描模块包括 扫描单元，对初次扫描文件进行重复扫描； 检测单元，根据初次扫描文件的文件信息判断重复扫描文件与云缓存信息库中文件是否匹配； 如果重复扫描文件与云缓存信息库文件匹配，则确定是在白名单还是黑名单中； 如果重复扫描文件在白名单中，则跳过病毒扫描； 如果重复扫描文件在黑名单中，则确定为病毒文件； 如果重复扫描文件与云缓存库信息库文件不匹配，则投递给杀毒引擎模块检测是否为病毒文件。
5.如权利要求I所述的系统，其特征在于，所述的向远程云端进行文件病毒鉴定包括 如果远程端鉴定是病毒文件，则存储到云缓存信息库黑名单中； 如果远程云端鉴定不是病毒文件，则存储到云缓存信息库白名单中。
6.一种提高重复扫描文件速度的方法，适应于所述的一种提高重复扫描文件速度的系统，包括 建立云缓存信息库，其中，所述的云缓存信息库包括黑名单、白名单； 对文件进行初次扫描并提取初次扫描文件的文件信息； 根据提取初次扫描文件的文件信息将初次扫描文件存储到云缓存信息库； 判断初次扫描文件是否存在病毒误报，并将判断出的病毒文件发送到杀毒引擎模； 杀毒引擎模接收重复扫描模块投递文件病毒信息进行鉴定， 如果杀毒引擎检测出是病毒文件，则向远程云端进行文件病毒鉴定； 如果杀毒引擎模块检测出不是病毒文件，则存储到云缓存信息库白名单中。
7.如权利要求6所述的方法，其特征在于，所述的文件信息包括文件的MD5值、文件大小。
8.如权利要求6所述的方法，其特征在于，其特征在于，所述的根据提取初次扫描文件信息将初次扫描文件存储到云缓存信息库包括 检测初次扫描文件是否是病毒文件； 如果是病毒文件，则放入云缓存库信息库的黑名单中； 如果不是病毒文件，则放入云缓存库信息库的白名单中。
9.如权利要求6所述的方法，其特征在于，所述的判断初次扫描文件是否存在病毒及确定是病毒文件的是否存储误报包括 对初次扫描文件进行重复扫描； 根据初次扫描文件的文件信息判断重复扫描文件与云缓存信息库中文件是否匹配； 如果重复扫描文件与云缓存信息库文件匹配，则确定是在白名单还是黑名单中； 如果重复扫描文件在白名单中，则跳过病毒扫描； 如果重复扫描文件在黑名单中，则确定为病毒文件； 如果重复扫描文件与云缓存库文件不匹配，则投递给杀毒引擎模块检测是否为病毒文件。
10.如权利要求6所述的方法，其特征在于，所述的向远程云端进行文件病毒鉴定包括 如果远程端鉴定是病毒文件，则存储到云缓存信息库黑名单中； 如果远程云端鉴定不是病毒文件，则存储到云缓存信息库白名单中。
全文摘要
本发明提供一种提高重复扫描文件速度的系统及方法，通过构建模块建立云缓存信息库，由提取模块提取初次文件扫描的文件信息并根据提取的信息存储到存储模块中再把初次扫描的文件分配到云缓存信息库中，在重复扫描模块中进行该文件是否初次判定确，即与云缓存信息库中相应的文件匹配，如果云缓存信息库中没有相匹配文件则投递给杀毒引擎进行判定，如果杀毒引擎检测出是病毒文件则最终交由远程云端确认，再反馈给云缓存信息库中；所提出一种适应于该系统的方法同样解决了对相同文件进行两次以上的重复扫描时只需与云缓存信息库文件匹配就可以对该文件进行相应处理；通过上述所提发明解决了大量消耗检测时间而且也占用了大量系统资源的问题。
文档编号G06F17/30GK102750463SQ201110421908
公开日2012年10月24日 申请日期2011年12月16日 优先权日2011年12月16日
发明者关墨辰, 孙洪伟, 徐瀚隆, 方华 申请人:北京安天电子设备有限公司