一种查杀病毒的方法及装置制造方法

一种查杀病毒的方法及装置制造方法
【专利摘要】本发明实施例公开了一种查杀病毒的方法，包括：对磁盘内的至少一个文件执行查杀操作时，记录所述文件的文件信息及所述查杀操作的磁盘读写区间信息；对所述文件的文件信息及查杀所述文件时的磁盘读写区间信息进行分析处理，获得缓存参考区间；将所述缓存参考区间内的文件加载至内存中，并在接收到查杀请求时，从内存中读取缓存的文件执行查杀操作。本发明实施例还公开了一种查杀病毒的装置。采用本发明，可降低杀毒时的磁盘读写量，提升查杀病毒的效率。
【专利说明】一种查杀病毒的方法及装置
【技术领域】
[0001]本发明涉及互联网【技术领域】，尤其涉及一种查杀病毒的方法及装置。
【背景技术】
[0002]随着互联网的不断发展与普及，越来越多的用户开始使用互联网。但是互联网的环境与资源并不是全部安全的，如果用户终端感染了病毒，可能导致终端系统瘫痪或硬件损坏，甚至造成用户的隐私信息泄露导致人身财产的安全。因此人们对网络安全的问题日益重视。现有的杀毒方法中包括静态防御和动态防御两大部分，这两个部分是对抗病毒传播的基石。其中静态防御又是杀毒过程中更基础的技术，动态防御的一些基本能力也需要静态防御来提供和加强。而在静态防御中，杀毒引擎的性能是重中之重。度量杀毒引擎的性能有很多的度量指标，例如病毒检出率、病毒查杀率、病毒查杀效率等等，其中一个十分关键的度量指标就是病毒查杀效率。在进行查杀病毒时，杀毒引擎需要兼顾磁盘读写和计算，因此，在现有的杀毒引擎中，磁盘读写作为病毒查杀效率的关键因素，成为现有杀毒引擎的性能瓶颈。
[0003]目前的杀毒方法，通过缓存待查杀文件到内存，然后在内存中查杀该待查杀文件，由此减少后续查杀时的磁盘读写量。这样便可以提高病毒查杀效率。在这种方式中，由于内存的容量是有限的，通常仅将病毒文件缓存到内存，对于用户终端上存在的大量正常文件，是否进行缓存，缓存哪些文件到内存中都没有明确的指导方法。因此现有的杀毒方法耗时较长，查杀效率低。

【发明内容】

[0004]本发明实施例所要解决的技术问题在于，提供一种查杀病毒的方法及装置。可降低杀毒时的磁盘读与量，提升查杀病毒的效率。
[0005]为了解决上述技术问题，本发明实施例提供了一种查杀病毒的方法，包括:
对磁盘内的至少一个文件执行查杀操作时，记录所述文件的文件信息及所述查杀操作的磁盘读写区间信息；
对所述文件的文件信息及查杀所述文件时的磁盘读写区间信息进行分析处理，获得缓存参考区间；
将所述缓存参考区间内的文件加载至内存中，并在接收到查杀请求时，从内存中读取缓存的文件执行查杀操作。
[0006]相应地，本发明实施例还提供了一种查杀病毒的装置，包括:
查杀单元，用于对磁盘内的至少一个文件执行查杀操作；
记录单元，用于当所述查杀单元对磁盘内的至少一个文件执行查杀操作时，记录所述文件的文件信息及所述查杀操作的磁盘读写区间信息；
处理单元，用于对所述文件的文件信息及查杀所述文件时的磁盘读写区间信息进行分析处理，获得缓存参考区间； 缓存单元，用于将所述缓存参考区间内的文件加载至内存中，并在所述查杀单元接收到查杀请求时，指示所述查杀单元从内存中读取缓存的文件执行查杀操作。
[0007]实施本发明实施例，具有如下有益效果:
在查杀文件时记录文件的文件信息及磁盘读写区间信息并进行分析处理，得到缓存参考区间，使得再次查杀时，可以预先将缓存参考区间内的文件缓存至内存中，明确了缓存的数据，提高了查杀病毒的效率；通过对文件进行分类并根据文件的热度、杀毒引擎的读取属性、终端上报的缓存未命中数据选取合适的缓存文件，压缩了缓存参考区间的范围，提升了缓存文件的命中率；通过判断缓存参考区间的文件容量是否合理从而重复对缓存参考区间进行压缩，降低了内存的存储压力，在不影响处理性能的前提下提升查杀病毒的效率；在缓存文件未命中时，将未命中文件对应的区间合并到缓存参考区间，进一步完善了缓存参考区间，提高了缓存文件的命中率。
【专利附图】

【附图说明】
[0008]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0009]图1是本发明查杀病毒的方法的第一实施例的流程示意图；
图2是本发明查杀病毒的方法的第二实施例的流程示意图；
图3是本发明查杀病毒的方法的第三实施例的流程示意图；
图4是本发明查杀病毒的方法的第四实施例的流程示意图；
图5是本发明查杀病毒的装置的第一实施例的组成示意图；
图6是本发明查杀病毒的装置的第二实施例的组成示意图；
图7是本发明查杀病毒的装置的第三实施例的组成示意图；
图8是本发明查杀病毒的装置的第四实施例的组成示意图。
【具体实施方式】
[0010]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0011]请参照图1，为本发明查杀病毒的方法的第一实施例的流程示意图，在本实施例中，所述方法包括以下步骤:
S101，对磁盘内的至少一个文件执行查杀操作时，记录所述文件的文件信息及所述查杀操作的磁盘读写区间信息。
[0012]具体地，所述文件的文件信息包括:
所述文件的类型、所述文件的哈希数据；
其中，所述文件的类型用于对查杀的所有文件进行分类并统计不同类型文件的磁盘读写区间； 所述文件的哈希数据用于校验所述文件的正确性与完整性。
[0013]当然，所述文件的文件信息还可以包括但不限于文件的其他属性信息如版本号，是否加壳，是否压缩等。
[0014]S102，对所述文件的文件信息及查杀所述文件时的磁盘读写区间信息进行分析处理，获得缓存参考区间。
[0015]S103，将所述缓存参考区间内的文件加载至内存中，并在接收到查杀请求时，从内存中读取缓存的文件执行查杀操作。
[0016]通过在查杀文件时记录文件的文件信息及磁盘读写区间信息并进行分析处理，得到缓存参考区间，使得再次查杀时，可以预先将缓存参考区间内的文件缓存至内存中，明确了缓存的数据，提高了查杀病毒的效率。
[0017]请参照图2，为本发明查杀病毒的方法的第二实施例的流程示意图，在本实施例中，所述方法包括以下步骤:
S201，对磁盘内的至少一个文件执行查杀操作时，记录所述文件的文件信息及所述查杀操作的磁盘读写区间信息。
[0018]S202，根据文件的类型对所有文件分类。
[0019]一般地，不同类型的文件其磁盘读写区间一般不同。如图像类文件和压缩文件的磁盘读写区间显然不同，如果对不同类型的文件采用相同的处理，将会影响后续缓存参考区间分析计算的准确性。
[0020]S203，对不同类型的文件，根据文件的热度、杀毒引擎的读取属性、终端上报的缓存未命中数据中的至少一种选取缓存文件。
[0021]具体地，使用频率高的文件热度高，使用频率低的文件热度低；对于热度高的文件，其对应的磁盘读写区间一般需要优先考虑，而对于热度低的文件则可以不加入缓存中。尤其在高热度文件与低热度文件的磁盘读写区间发生冲突时，应该优先采信高热度文件。一般地，可以预先设置一个热度阈值用来表示预设时间内文件的使用次数，当达到该热度阈值时判定该文件为高热度文件。
[0022]所述杀毒引擎的读取属性为杀毒引擎对磁盘各个区间的读取频率。例如，有的杀毒引擎将会对磁盘的某一个区间做频繁读取，则可以将这个区间的数据加入到缓存参考区间中。
[0023]对于缓存参考区间中没有的数据，当终端上报时，也可以将其对应的区间加入参考缓存区间。
[0024]由以上的一种或多种筛选标准进行筛选之后便能得到一系列的磁盘读写区间。
[0025]S204，合并所述缓存文件对应的磁盘读写区间得到所述缓存参考区间。
[0026]S205，将所述缓存参考区间内的文件加载至内存中，并在接收到查杀请求时，从内存中读取缓存的文件执行查杀操作。
[0027]通过本实施例描述的分析处理方法，可以得到最常用文件对应的磁盘读取区间，将这些区间合并后得到的缓存参考区间，命中率较高，可以在降低内存存储压力的同时显著提升查杀病毒的效率。
[0028]请参照图3，为本发明查杀病毒的方法的第三实施例的流程示意图，在本实施例中，所述方法包括以下步骤: S301，对磁盘内的至少一个文件执行查杀操作时，记录所述文件的文件信息及所述查杀操作的磁盘读写区间信息。
[0029]S302，根据文件的类型对所有文件分类。
[0030]S303，对不同类型的文件，根据文件的热度、杀毒引擎的读取属性、终端上报的缓存未命中数据中的至少一种选取缓存文件。
[0031]S304，合并所述缓存文件对应的磁盘读写区间得到所述缓存参考区间。
[0032]S305，判断所述缓存参考区间内的文件容量是否超过预设阈值。
[0033]一般地，内存的存储容量是有限的，如果缓存的文件过多将降低处理部分的性能，影响整个查杀过程的流畅度，因此，引入合理的判断机制，控制缓存参考区间的大小对于控制查杀效率具有十分重要的作用。
[0034]S306,对所述缓存参考区间内的文件执行查杀操作，记录所述文件的文件信息及所述查杀操作的磁盘读写区间信息，对所述文件的文件信息及查杀所述文件时的磁盘读写区间信息进行分析处理，直至所述缓存参考区间内的文件容量满足预设阈值的要求。
[0035]此处，给出了进一步压缩缓存参考区间的方法，通过不断循环的对缓存参考区间内的文件进行查杀、记录、分析处理得到更加合理的缓存参考区间直至所述缓存参考区间内的文件容量满足预设阈值的要求。这样便实现了在不影响系统整体性能的前提下提升查杀病毒效率的效果。
[0036]S307，将所述缓存参考区间内的文件加载至内存中，并在接收到查杀请求时，从内存中读取缓存的文件执行查杀操作。
[0037]请参照图4，为本发明查杀病毒的方法的第四实施例的流程示意图，在本实施例中，所述方法包括以下步骤:
S401，对磁盘内的至少一个文件执行查杀操作时，记录所述文件的文件信息及所述查杀操作的磁盘读写区间信息。
[0038]S402，根据文件的类型对所有文件分类。
[0039]S403，对不同类型的文件，根据文件的热度、杀毒引擎的读取属性、终端上报的缓存未命中数据中的至少一种选取缓存文件。
[0040]S404，合并所述缓存文件对应的磁盘读写区间得到所述缓存参考区间。
[0041]S405，判断所述缓存参考区间内的文件容量是否超过预设阈值。
[0042]S406,对所述缓存参考区间内的文件执行查杀操作，记录所述文件的文件信息及所述查杀操作的磁盘读写区间信息，对所述文件的文件信息及查杀所述文件时的磁盘读写区间信息进行分析处理，直至所述缓存参考区间内的文件容量满足预设阈值的要求。
[0043]S407，将所述缓存参考区间内的文件加载至内存中，并在接收到查杀请求时，判断内存中是否存在待查杀文件。
[0044]S408,直接从磁盘上读取所述待查杀文件进行查杀，并记录所述待查杀文件的文件信息及查杀所述待查杀文件时的磁盘读写区间，将查杀所述待查杀文件时的磁盘读写区间合并至所述缓存参考区间。
[0045]虽然通过前述方法大大提高了缓存的命中率，但是扔不排除已有的参考缓存区间中存在未命中文件。通过判断待查杀文件是否存在，若不存在，则直接从磁盘读取并查杀，同时引入并行增加的方式将这些未命中文件的对应的磁盘读写区间合并到参考缓存区间中，实现参考缓存区间的进一步完善。如果此时参考缓存区间中的文件容量超过预设阈值，则可以根据文件的类型、热度、杀毒引擎的读取属性等因素作为参考，将参考缓存区间中的一些冷门文件进行删除从而保持合理的区间大小。
[0046]S409，直接从内存中读取并查杀。
[0047]请参照图5，为本发明查杀病毒的装置的第一实施例的组成示意图，在本实施例中，所述装置包括:查杀单元100、记录单元200、处理单元300及缓存单元400。
[0048]所述查杀单元100用于对磁盘内的至少一个文件执行查杀操作；
所述记录单元200用于当所述查杀单元100对磁盘内的至少一个文件执行查杀操作时，记录所述文件的文件信息及所述查杀操作的磁盘读写区间信息；
所述处理单元300用于对所述文件的文件信息及查杀所述文件时的磁盘读写区间信息进行分析处理，获得缓存参考区间；
所述缓存单元400用于将所述缓存参考区间内的文件加载至内存中，并在所述查杀单元100接收到查杀请求时，指示所述查杀单元100从内存中读取缓存的文件执行查杀操作。
[0049]请参照图6，为本发明查杀病毒的装置的第二实施例的组成示意图，在本实施例中，所述装置包括:查杀单元100、记录单元200、处理单元300及缓存单元400。
[0050]所述处理单元300包括:分类子单元310、选取子单元320、合并子单元330。
[0051]所述分类子单元310用于根据文件的类型对所有文件分类；
所述选取子单元320用于对不同类型的文件，根据文件的热度、杀毒引擎的读取属性、终端上报的缓存未命中数据中的至少一种选取缓存文件；
所述合并子单元330用于合并所述缓存文件对应的磁盘读写区间得到所述缓存参考区间；
其中，使用频率高的文件热度高，使用频率低的文件热度低；所述杀毒引擎的读取属性为杀毒引擎对磁盘各个区间的读取频率。
[0052]请参照图7，为本发明查杀病毒的装置的第三实施例的组成示意图，在本实施例中，所述装置包括:查杀单元100、记录单元200、处理单元300、缓存单元400及第一判断单元 500。
[0053]所述第一判断单元500用于在所述合并子单元330在合并所述缓存文件对应的磁盘读写区间得到所述缓存参考区间之后，判断所述缓存参考区间内的文件容量是否超过预设阈值；
若是，则指示所述查杀单元100对所述缓存参考区间内的文件执行查杀操作,指示所述记录单元200记录所述文件的文件信息及所述查杀操作的磁盘读写区间信息，指示所述处理单元300对所述文件的文件信息及查杀所述文件时的磁盘读写区间信息进行分析处理，直至所述缓存参考区间内的文件容量满足预设阈值的要求。
[0054]请参照图8，为本发明查杀病毒的装置的第四实施例的组成示意图，在本实施例中，所述装置包括:查杀单元100、记录单元200、处理单元300、缓存单元400、第一判断单元500及第二判断单元600。
[0055]所述第二判断单元600用于在所述缓存单元400将所述缓存参考区间内的文件加载至内存中，并在所述查杀单元100接收到查杀请求时，判断内存中是否存在待查杀文件；
若不存在，则指示所述查杀单元100直接从磁盘上读取所述待查杀文件进行查杀，并指示所述记录单元200记录所述待查杀文件的文件信息及查杀所述待查杀文件时的磁盘读写区间，指示所述处理单元300将查杀所述待查杀文件时的磁盘读写区间合并至所述缓存参考区间。
[0056]需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
[0057]通过上述实施例的描述，本发明具有以下优点:
在查杀文件时记录文件的文件信息及磁盘读写区间信息并进行分析处理，得到缓存参考区间，使得再次查杀时，可以预先将缓存参考区间内的文件缓存至内存中，明确了缓存的数据，提高了查杀病毒的效率；通过对文件进行分类并根据文件的热度、杀毒引擎的读取属性、终端上报的缓存未命中数据选取合适的缓存文件，压缩了缓存参考区间的范围，提升了缓存文件的命中率；通过判断缓存参考区间的文件容量是否合理从而重复对缓存参考区间进行压缩，降低了内存的存储压力，在不影响处理性能的前提下提升查杀病毒的效率；在缓存文件未命中时，将未命中文件对应的区间合并到缓存参考区间，进一步完善了缓存参考区间，提高了缓存文件的命中率。
[0058]本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,简称ROM)或随机存储记忆体(RandomAccess Memory,简称 RAM)等。
[0059]以上所揭露的仅为本发明较佳实施例而已，当然不能以此来限定本发明之权利范围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。
【权利要求】
1.一种查杀病毒的方法，其特征在于，包括: 对磁盘内的至少一个文件执行查杀操作时，记录所述文件的文件信息及所述查杀操作的磁盘读写区间信息； 对所述文件的文件信息及查杀所述文件时的磁盘读写区间信息进行分析处理，获得缓存参考区间； 将所述缓存参考区间内的文件加载至内存中，并在接收到查杀请求时，从内存中读取缓存的文件执行查杀操作。
2.如权利要求1所述的方法，其特征在于，所述文件的文件信息包括: 所述文件的类型、所述文件的哈希数据； 其中，所述文件的类型用于对查杀的所有文件进行分类并统计不同类型文件的磁盘读写区间； 所述文件的哈希数据用于校验所述文件的正确性与完整性。
3.如权利要求2所述的方法，其特征在于，对所述文件的文件信息及查杀所述文件时的磁盘读写区间信息进行分析处理，获得缓存参考区间，包括: 根据文件的类型对所有文件分类； 对不同类型的文件，根据文件的热度、杀毒引擎的读取属性、终端上报的缓存未命中数据中的至少一种选取缓存文件； 合并所述缓存文件对应的磁盘读写区间得到所述缓存参考区间； 其中，使用频率高的文件热度高，使用频率低的文件热度低；所述杀毒引擎的读取属性为杀毒引擎对磁盘各个区间的读取频率。
4.如权利要求3所述的方法，其特征在于，在合并所述缓存文件对应的磁盘读写区间得到所述缓存参考区间之后，还包括: 判断所述缓存参考区间内的文件容量是否超过预设阈值； 若是，则对所述缓存参考区间内的文件执行查杀操作，记录所述文件的文件信息及所述查杀操作的磁盘读写区间信息，对所述文件的文件信息及查杀所述文件时的磁盘读写区间信息进行分析处理，直至所述缓存参考区间内的文件容量满足预设阈值的要求。
5.如权利要求1-4任一项所述的方法，其特征在于，将所述缓存参考区间内的文件加载至内存中，并在接收到查杀请求时，从内存中读取缓存的文件执行查杀操作，包括: 将所述缓存参考区间内的文件加载至内存中，并在接收到查杀请求时，判断内存中是否存在待查杀文件； 若不存在，则直接从磁盘上读取所述待查杀文件进行查杀，并记录所述待查杀文件的文件信息及查杀所述待查杀文件时的磁盘读写区间，将查杀所述待查杀文件时的磁盘读写区间合并至所述缓存参考区间。
6.一种查杀病毒的装置，其特征在于，包括: 查杀单元，用于对磁盘内的至少一个文件执行查杀操作； 记录单元，用于当所述查杀单元对磁盘内的至少一个文件执行查杀操作时，记录所述文件的文件信息及所述查杀操作的磁盘读写区间信息； 处理单元，用于对所述文件的文件信息及查杀所述文件时的磁盘读写区间信息进行分析处理，获得缓存参考区间；缓存单元，用于将所述缓存参考区间内的文件加载至内存中，并在所述查杀单元接收到查杀请求时，指示所述查杀单元从内存中读取缓存的文件执行查杀操作。
7.如权利要求6所述的装置，其特征在于，所述文件的文件信息包括: 所述文件的类型、所述文件的哈希数据； 其中，所述文件的类型用于对查杀的所有文件进行分类并统计不同类型文件的磁盘读写区间； 所述文件的哈希数据用于校验所述文件的正确性与完整性。
8.如权利要求7所述的装置，其特征在于，所述处理单元包括: 分类子单元，用于根据文件的类型对所有文件分类； 选取子单元，用于对不同类型的文件，根据文件的热度、杀毒引擎的读取属性、终端上报的缓存未命中数据中的至少一种选取缓存文件； 合并子单元，用于合并所述缓存文件对应的磁盘读写区间得到所述缓存参考区间； 其中，使用频率高的文件热度高，使用频率低的文件热度低；所述杀毒引擎的读取属性为杀毒引擎对磁盘各个区间的读取频率。
9.如权利要求8所述的装置，其特征在于，所述装置还包括: 第一判断单元，用于在所述合并子单元在合并所述缓存文件对应的磁盘读写区间得到所述缓存参考区间之后，判断所述缓存参考区间内的文件容量是否超过预设阈值； 若是，则指示所述查杀单元对所述缓存参考区间内的文件执行查杀操作，指示所述记录单元记录所述文件的文件信息及所述查杀操作的磁盘读写区间信息，指示所述处理单元对所述文件的文件信息及查杀所述文件时的磁盘读写区间信息进行分析处理，直至所述缓存参考区间内的文件容量满足预设阈值的要求。
10.如权利要求6-9任一项所述的装置，其特征在于，所述装置还包括: 第二判断单元，用于在所述缓存单元将所述缓存参考区间内的文件加载至内存中，并在所述查杀单元接收到查杀请求时，判断内存中是否存在待查杀文件； 若不存在，则指示所述查杀单元直接从磁盘上读取所述待查杀文件进行查杀，并指示所述记录单元记录所述待查杀文件的文件信息及查杀所述待查杀文件时的磁盘读写区间，指示所述处理单元将查杀所述待查杀文件时的磁盘读写区间合并至所述缓存参考区间。
【文档编号】G06F21/56GK103927479SQ201310008632
【公开日】2014年7月16日 申请日期:2013年1月10日 优先权日:2013年1月10日
【发明者】郭祎斌 申请人:腾讯科技（深圳）有限公司