企业级终端文件扫描方法及装置的制造方法
【技术领域】
[0001]本发明涉及计算机技术领域,特别是涉及一种企业级终端文件扫描方法及装置。
【背景技术】
[0002]随着计算机技术的不断发展,互联网的应用也越来越广泛,从而使人们的生活、学习和工作受到了很多有益的影响。但是在使用互联网的过程中,电子设备很容易受到病毒、恶意插件的侵害,设备一旦感染上病毒,很有可能导致系统中的一些重要文件的损坏、丢失,严重情况下还可能导致系统的瘫痪,从而给用户造成巨大的损失。尤其是企业终端,对病毒的查杀至关重要,保证终端系统的安全运作,是保障企业良好运营的前提条件。为了避免终端受到病毒的侵害,保证用户可以的安全使用互联网,就需要经常查杀系统潜在的病毒,排除恶意软件对系统的干扰。
[0003]目前的杀毒软件扫描病毒普遍采用的是全盘扫描的方式,即枚举待扫描系统中的文件,比如从C盘根目录枚举文件,枚举以后再在一个一个的传送给后面的杀毒引擎,多个杀毒引擎在扫描病毒之后得出一个扫描结果。这种扫描方式虽然可以有效地查杀出病毒,但是由于采用的方式为枚举系统中的文件,因此操作起来比较浪费时间,同时也过于消耗系统资源。对于有着多台终端的企业来说,系统资源的浪费将是巨大的。因此,需要创造出一种高效安全的企业级终端文件扫描方法,在保证终端使用安全的情况下,不仅可以精确地查杀病毒,还可以节约扫描时间和系统资源。
【发明内容】
[0004]鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种企业级终端文件扫描方法及相应的装置。
[0005]根据本发明的一个方面,提供了一种企业级终端文件扫描方法,应用于包括终端和控制中心的企业级平台,所述终端中包括递增日志,当所述终端中的文件发生变更操作时,在所述递增日志中增加一条日志记录,所述方法包括:
[0006]所述终端接收到触发文件扫描的操作时,获取存储在本地的递增日志;
[0007]根据所述递增日志计算该递增日志对应的一个或多个特征值;
[0008]将所述特征值发送至所述控制中心,由所述控制中心确定扫描起始特征值;
[0009]接收所述控制中心下发的所述扫描起始特征值,并根据所述扫描起始特征值对应的递增日志对所述终端中的文件进行增量扫描。
[0010]可选的,所述根据递增日志计算该递增日志对应的多个特征值,包括:
[0011 ]将所述递增日志拆分为多段;
[0012]分别计算各段的特征值。
[0013]可选的,所述特征值包括MD5值或者SHA值。
[0014]可选的,根据所述扫描起始特征值对应的递增日志对所述终端中的文件进行增量扫描,包括:
[0015]以所述扫描起始特征值对应的递增日志为起点,根据所述新增部分日志记录确定后续的扫描操作所针对的文件,其中,所述针对的文件包括新增的文件和/或现有文件的改变;
[0016]分别对确定的文件进行增量扫描。
[0017]可选的,根据如下方式确定所述扫描起始特征值对应的递增日志为起点,包括:
[0018]利用特征值的反向生成规则,确定所述扫描起始特征值对应的递增日志条目和/或递增日志段落;
[0019]若所述扫描起始特征值对应递增日志条目,则以该递增日志条目作为扫描起点;
[0020]若所述扫描起始特征对应递增日志段落,则以该递增日志段落的第一条作为扫描起点。
[0021 ]可选的,所述现有文件的改变包括下列至少之一:
[0022]现有文件内容的改变;
[0023]现有文件属性的改变;
[0024]现有文件特征参数的改变。
[0025]可选的,所述终端采用NTFS系统时,所述递增日志采用USN文件系统。
[0026]可选的,所述方法适用于所述企业级平台中的采用同一版本的初始安装系统的多台终端;或者
[0027]所述方法适用于在一台终端中设置的多台虚拟机系统。
[0028]根据本发明的另一个方面,还提供了一种企业级终端文件扫描装置,应用于包括终端和控制中心的企业级平台,所述终端中包括递增日志,当所述终端中的文件发生变更操作时,在所述递增日志中增加一条日志记录,所述装置包括:
[0029]获取模块,适于所述终端接收到触发文件扫描的操作时,获取存储在本地的递增日志;
[0030]计算模块,适于根据所述递增日志计算该递增日志对应的一个或多个特征值;
[0031 ]发送模块,适于将所述特征值发送至所述控制中心,由所述控制中心确定扫描起始特征值;
[0032]扫描模块,适于接收所述控制中心下发的所述扫描起始特征值,并根据所述扫描起始特征值对应的递增日志对所述终端中的文件进行增量扫描。
[0033]可选的,所述计算模块还适于:
[0034]将所述递增日志拆分为多段;
[0035]分别计算各段的特征值。
[0036]可选的,所述特征值包括MD5值或者SHA值。
[0037]可选的,所述扫描模块还适于:
[0038]以所述扫描起始特征值对应的递增日志为起点,根据所述新增部分日志记录确定后续的扫描操作所针对的文件,其中,所述针对的文件包括新增的文件和/或现有文件的改变;
[0039]分别对确定的文件进行增量扫描。
[0040]可选的,根据如下方式确定所述扫描起始特征值对应的递增日志为起点,包括:[0041 ]利用特征值的反向生成规则,确定所述扫描起始特征值对应的递增日志条目和/或递增日志段落;
[0042]若所述扫描起始特征值对应递增日志条目,则以该递增日志条目作为扫描起点;
[0043]若所述扫描起始特征对应递增日志段落,则以该递增日志段落的第一条作为扫描起点。
[0044]可选的,所述现有文件的改变包括下列至少之一:
[0045]现有文件内容的改变;
[0046]现有文件属性的改变;
[0047]现有文件特征参数的改变。
[0048]可选的,所述终端采用NTFS系统时,所述递增日志采用USN文件系统。
[0049]可选的,所述装置适用于所述企业级平台中的采用同一版本的初始安装系统的多台终端;或者
[0050]所述装置适用于在一台终端中设置的多台虚拟机系统。
[0051]根据本发明的另一个方面,还提供了一种企业级终端文件扫描方法,应用于包括终端和控制中心的企业级平台,所述终端中包括递增日志,当所述终端中的文件发生变更操作时,在所述递增日志中增加一条日志记录,所述方法包括:
[0052]接收所述终端发送的一个或多个特征值,其中,所述特征值由所述终端根据存储在本地的递增日志计算得出;
[0053]将所述一个或多个特征值与所述控制中心所记录的已扫描特征值顺序进行比对,确定所述终端的扫描起始特征值;
[0054]将所述扫描起始特征值并发送至所述终端,由所述终端根据所述扫描起始特征值对应的递增日志对所述终端中的文件进行增量扫描。
[0055]可选的,若所述控制中心中未查询到已扫描特征值,所述方法还包括:对所述终端中的文件进行全盘扫描。
[0056]可选的,将所述一个或多个特征值与所述控制中心所记录的已扫描特征值顺序进行比对,确定所述终端的扫描起始特征值,包括:
[0057]将所述控制中心所记录的已扫描特征值按顺序与所述终端发送的一个或多个特征值进行比对,得到比对结果;
[0058]根据所述比对结果确定出与所述控制中心所记录的已扫描特征值不同的至少一个特征值;
[0059]根据所述不同的至少一个特征值确定所述终端的扫描起始特征值。
[0060]可选的,根据所述不同的至少一个特征值确定所述终端的扫描起始特征值,包括:
[0061]在所述不同的至少一个特征值中查找到与当前时间间隔最长的特征值;
[0062]确定所述与当前时间间隔最长的特征值作为所述终端的扫描起始特征值。
[0063]可选的,所述方法适用于所述企业级平台中的采用同一版本的初始安装系统的多台终端;或者
[0064]所述方法适用于在一台终端中设置的多台虚拟机系统。
[0065]根据本发明的另一个方面,还提供了一种企业级终端文件扫描装置,应用于包括终端和控制中心的企业级平台,所述终端中包括递增日志,当所述终端中的文件发生变更操作时,在所述递增日志中增加一条日志记录,所述装置包括:
[0066]接收模块,适于接收所述终端发送的一个或多个特征值,其中,所述特征值由所述终端根据存储在本地的递增日志计算得出;
[0067]比对模块,适于将所述一个或多个特征值与所述控制中心所记录的已扫描特征值顺序进行比对,确定所述终端的扫描起始特征值;
[0068]发送模块,适于将所述扫描起始特征值并发送至所述终端,由所述终端根据所述扫描起始特征值对应的递增日志对所述终端中的文件进行增量扫描。
[0069]可选的,所述的装置还包括:若所述控制中心中未查询到已扫描特征值,则对所述终端中的文件进行全盘扫描。
[0070]可选的,所述比对模块还适于:
[0071]将所述控制中心所记录的已扫描特征值按顺序与所述终端发送的一个或多个特征值进行比对,得到比对结果;
[0072]根据所述比对结果确定出