与所述控制中心所记录的已扫描特征值不同的至少一个特征值;
[0073]根据所述不同的至少一个特征值确定所述终端的扫描起始特征值。
[0074]可选的,所述根据所述不同的至少一个特征值确定所述终端的扫描起始特征值,包括:
[0075]在所述不同的至少一个特征值中查找到与当前时间间隔最长的特征值;
[0076]确定所述与当前时间间隔最长的特征值作为所述终端的扫描起始特征值。
[0077]可选的,所述装置适用于所述企业级平台中的采用同一版本的初始安装系统的多台终端;或者
[0078]所述装置适用于在一台终端中设置的多台虚拟机系统。
[0079]在本发明实施例中,针对具有终端和控制中心的企业级平台,终端中包括递增日志,当终端中的文件发生变更操作时,在递增日志中增加一条日志记录。当终端接收到触发文件扫描的操作时,获取存储在本地的递增日志,根据递增日志计算该递增日志对应的一个或多个特征值,并将特征值发送至控制中心,再由控制中心确定扫描起始特征值,终端接收控制中心下发的扫描起始特征值,并根据该扫描起始特征值对应的递增日志对终端中的文件进行增量扫描。由于递增日志只是在原有日志的基础上增加了部分新的日志,而之前存在的日志并没有发生改变,所以本发明只进行文件增量的扫描,省去了每次扫描操作对文件系统都进行全盘扫描的过程,节约了全盘扫描花费的时间。通过获取递增日志特征值,并确定出扫描起始特征值,根据扫描起始特征值对终端中的文件进行增量扫描,进一步的节省了扫描递增日志所需的空间资源。尤其是对于拥有多台终端的企业级平台,本发明采用的通过获取递增日志特征值的方式,可以大大提高终端文件的扫描效率,同时也提高了企业级平台的工作效率,有利于企业的安全高效运营。
[0080]上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的【具体实施方式】。
[0081]根据下文结合附图对本发明具体实施例的详细描述,本领域技术人员将会更加明了本发明的上述以及其他目的、优点和特征。
【附图说明】
[0082]通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0083]图1是根据本发明一个实施例的企业级终端文件扫描方法的流程示意图;
[0084]图2是根据本发明另一个实施例的企业级终端文件扫描方法的流程示意图;
[0085]图3是根据本发明一个实施例的企业级终端文件扫描装置的结构示意图;
[0086]图4是根据本发明一个实施例的企业级终端文件扫描方法的流程示意图;
[0087]图5是根据本发明另一个实施例的企业级终端文件扫描方法的流程示意图;以及
[0088]图6是根据本发明一个实施例的企业级终端文件扫描装置的结构示意图。
【具体实施方式】
[0089]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
[0090]为了解决上述技术问题,本发明实施例提供了一种企业级终端文件扫描方法。图1示出了根据本发明一个实施例的企业级终端文件扫描方法的流程示意图。参见图1,该方法至少包括步骤S102至步骤S108。
[0091 ]步骤S102,终端接收到触发文件扫描的操作时,获取存储在本地的递增日志。
[0092]步骤S104,根据递增日志计算该递增日志对应的一个或多个特征值。
[0093]在一个具体实施中,根据递增日志计算该递增日志对应的一个或多个特征值,还可以将递增日志拆分为多段,分别计算各段的特征值。具体的,可以将终端中的递增日志按照时间间隔拆分成多个子递增日志,例如以每5小时的时间间隔将递增日志进行分段,然后分别计算每5小时之内的递增日志所对应的特征值。通过分段计算特征值的方式可以提高计算特征值的效率,同时还能保证特征值计算的准确性。
[0094]在一个具体实施例中,特征值可以采用MD5(Message_Digest Algorithm 5,信息-摘要算法)值或者SHA(Secure Hash Algorithm,数据加密算法)值。以MD5值为例,MD5值可以确保信息的传输完整一致,同时MD5值的压缩性很好,对于任意长度的数据,计算出的MD5值的长度都是固定的,且从原数据中计算出MD5值很容易,方便控制中心的分析及确定起始特征值。其次,针对于本发明中采用的增量扫描方式,特征值需要很高的抗修改性,MD5值可以精确到哪怕只修改一个字符,MD5值都有很大区别。
[0095]步骤S106,将特征值发送至控制中心,由控制中心确定扫描起始特征值。
[0096]步骤S108,接收控制中心下发的扫描起始特征值,并根据扫描起始特征值对应的递增日志对终端中的文件进行增量扫描。
[0097]在一个具体实施例中,现有文件的改变包括下列至少之一:现有文件内容的改变;现有文件属性的改变;现有文件特征参数的改变。其中,现有文件属性的改变不一定需要被扫描,一些被恶意修改的属性,例如一种IE属性被恶意修改,IE浏览器上方的标题栏被改成“欢迎访问......网站”的样式,则包含在现有文件属性改变的范围之内。而对于符合安全的文件属性改变,例如属性仅涉及文本类型的修改(如word文本类型转换成H)F文本类型)或者属性仅涉及文本修改时间的改变(如2015-11-10改成2015-11-13),这些文件属性改变则不需要被再次扫描。通过对扫描操作所针对的文件的筛选,可以节约文件系统资源,同时节约了扫描文件所花费的时间。
[0098]在本发明实施例中,针对具有终端和控制中心的企业级平台,企业级平台中通常由控制中心并行控制多台甚至大量终端。在本发明实施例中,每台终端中包括递增日志,当终端中的文件发生变更操作时,在递增日志中增加一条日志记录。当终端接收到触发文件扫描的操作时,获取存储在本地的递增日志,根据递增日志计算该递增日志对应的一个或多个特征值,并将特征值发送至控制中心,再由控制中心确定扫描起始特征值,终端接收控制中心下发的扫描起始特征值,并根据该扫描起始特征值对应的递增日志对终端中的文件进行增量扫描。由于递增日志只是在原有日志的基础上增加了部分新的日志,而之前存在的日志并没有发生改变,所以本发明只进行文件增量的扫描,省去了每次扫描操作对文件系统都进行全盘扫描的过程,节约了全盘扫描花费的时间。通过获取递增日志特征值,并确定出扫描起始特征值,根据扫描起始特征值对终端中的文件进行增量扫描,进一步的节省了扫描递增日志所需的空间资源。尤其是对于拥有多台终端的企业级平台,本发明采用的通过获取递增日志特征值的方式,可以大大提高终端文件的扫描效率,同时也提高了企业级平台的工作效率,有利于企业的安全高效运营。
[0099]为了将一种企业级终端文件扫描方法阐述的更加清楚明白,本发明实施例利用一个具体的实施例对其进行详细的说明。图2示出了本发明的具体实施例中的企业级终端文件扫描方法的流程示意图。参见图2所示,该方法至少包括步骤S202至步骤S208。
[0100]步骤S202,终端接收到触发文件扫描的操作时,获取存储在本地的递增日志。
[0101]步骤S204,将递增日志拆分为多段,分别计算各段的特征值。具体的,可以将终端中的递增日志按照时间间隔拆分成多个子递增日志,例如以每5小时的时间间隔将递增日志进行分段,然后分别计算每5小时之内的递增日志所对应的特征值。通过分段计算特征值的方式可以提高计算特征值的效率,同时还能保证特征值计算的准确性。
[0102]步骤S206,将各段的特征值发送至控制中心,由控制中心确定该段的扫描起始特征值。
[0103]在一个具体实施例中,根据扫描起始特征值对应的递增日志对终端中的文件进行增量扫描,以扫描起始特征值对应的递增日志为起点,根据新增部分日志记录确定后续的扫描操作所针对的文件,其中,扫描操作所针对的文件包括新增的文件和/或现有文件的改变,然后分别对确定的文件进行增量扫描。
[0104]在另一个具体实施例中,根据如下方式确定扫描起始特征值对应的递增日志为起点,可以利用特征值的反向生成规则,确定扫描起始特征值对应的递增日志条目和/或递增日志段落。其中,递增日志段落是指将递增日志分段,每段被识别为一个递增日志段落,一条递增日志段落中包括多条递增日志条目。若扫描起始特征值对应递增日志条目,则以该递增日志条目作为扫描起点;若扫描起始特征值对应递增日志段落,则以该递增日志段落的第一条作为扫描起点。
[0105]步骤S208,接收控制中心下发的扫描起始特征值,并根据扫描起始特征值对应的递增日志对终端中的文件进行增量扫描。
[Ο?Ο?] 在一个具体实例中,终端采用NTFS(New Technology File System,新技术文件系统)系统时,递增日志采用USN(update sequence number,更新序列号)文件系统。NTFS是一个可恢复的文件系统,在NTFS分区上用户很少需要运行磁盘修复程序,NTFS通过使用标准的事