务处理日志和恢复技术来保证分区的一致性。当发生系统失败事件时,NTFS使用日志文件和检查点信息自动恢复文件系统的一致性。因此,NTFS文件系统具有良好的安全性能,应用于病毒的扫描更加安全可靠。此外,NTFS文件系统还提供了容错结构日志,可以将用户的操作全部的记录下来,从而进一步保护了系统的安全。USN文件系统是对卷里所修改过的信息进行相关记录的功能,微软发布建立NTFS 5.0时,加入了一些新功能和改进了旧版本的文件系统,为它请来了一位可靠的秘书,即USN文件系统,它可以在分区中设置监视更改的文件和目录的数量,记录下监视对象修改时间和修改内容。当这个功能启用时,对于每一个NTFS卷,当发生有关添加、删除和修改文件的信息时,NTFS文件系统都使用USN记录下修改的时间,并用特定的序列号来标识为日志形式,即USN日志。但是USN日志并不会记录里面具体修改的内容,因此,USN日志的记录文件很小,查找方便。所以,USN日志只能工作在NTFS文件系统中。
[0107]在一个具体实例中,本发明方法适用于企业级平台中的采用同一版本的初始安装系统的多台终端,或者本发明方法适用于在一台终端中设置的多台虚拟机系统。
[0108]在本发明实施例中,企业级终端文件扫描采用通过对递增日志的特征值计算,并获取扫描起始特征值来对递增日志增量部分进行扫描的方式。进一步的,本实施例在根据递增日志计算该递增日志对应的多个特征值之前,优选地将递增日志拆分为多段,并分别计算各段的特征值。采用这种分段计算特征值的方式,可以同时对多段递增日志进行特征值的计算,不仅提高了计算特征值的效率,同时还能保证特征值计算的准确性。
[0109]基于同一发明构思,本发明还提供了一种企业级终端文件扫描装置,用于支持上述任意一个优选实施例或其组合所提供的文件扫描的方法。图3示出了根据本发明一个实施例的企业级终端文件扫描装置的结构示意图。如图3所示,该装置应用于企业级平台的各终端,至少可以包括以下模块:获取模块310、计算模块320、发送模块330以及扫描模块340。
[0110]下面介绍本发明实施例的企业级终端文件扫描装置的各个组件以及各部分之间的连接关系:
[0111]获取模块310,适于终端接收到触发文件扫描的操作时,获取存储在本地的递增日志;
[0112]计算模块320,与获取模块310耦合,适于根据递增日志计算该递增日志对应的一个或多个特征值;
[0113]在本发明的一个实施例中,特征值可以采用MD5值或者SHA值。
[0114]发送模块330,与计算模块320耦合,适于将特征值发送至控制中心,由控制中心确定扫描起始特征值;
[0115]扫描模块340,与发送模块330耦合,适于接收控制中心下发的扫描起始特征值,并根据扫描起始特征值对应的递增日志对终端中的文件进行增量扫描。
[0116]在本发明的一个实施例中,计算模块320还适于,将日志拆分为多段,然后分别计算各段的特征值。
[0117]在本发明的一个实施例中,扫描模块340还适于,以扫描起始特征值对应的递增日志为起点,根据新增部分日志记录确定后续的扫描操作所针对的文件,其中,针对的文件包括新增的文件和/或现有文件的改变,分别对确定的文件进行增量扫描。其中,现有文件内容的改变;现有文件属性的改变;现有文件特征参数的改变。
[0118]在本发明的一个实施例中,根据如下方式确定扫描起始特征值对应的递增日志为起点,包括:利用特征值的反向生成规则,确定扫描起始特征值对应的递增日志条目和/或递增日志段落;若扫描起始特征值对应递增日志条目,则以该递增日志条目作为扫描起点;若扫描起始特征对应递增日志段落,则以该递增日志段落的第一条作为扫描起点。
[0119]在本发明的一个实施例中,本发明装置还适用于所述企业级平台中的采用同一版本的初始安装系统的多台终端,或者用于在一台终端中设置的多台虚拟机系统。
[0120]本发明实施例还提供了一种企业级终端文件扫描方法。图4示出了根据本发明另一个实施例的企业级终端文件扫描方法的流程示意图。参见图4,该方法至少包括步骤S402至步骤S406。
[0121]步骤S402,接收终端发送的一个或多个特征值,其中,特征值由终端根据存储在本地的递增日志计算得出。
[0122]步骤S404,将一个或多个特征值与控制中心所记录的已扫描特征值顺序进行比对,确定终端的扫描起始特征值。
[0123]在本发明的一个实施例中,若控制中心中未查询到已扫描特征值,则对终端中的文件进行全盘扫描。终端对文件全盘扫描之后,计算出已扫描文件的特征值,并将该已扫描特征值发送至控制中心,控制中心将该已扫描特征值存储以备后续终端发送的特征值与控制中心存储的已扫描特征值进行比对,从而确定出终端的扫描起始特征值,根据该扫描起始特征值对递增日志进行增量的扫描。
[0124]在本发明的一个实施例中,将一个或多个特征值与控制中心所记录的已扫描特征值顺序进行比对,确定终端的扫描起始特征值。具体的,将控制中心所记录的已扫描特征值按顺序与终端发送的一个或多个特征值进行比对,得到比对结果,根据比对结果确定出与控制中心所记录的已扫描特征值不同的至少一个特征值,根据不同的至少一个特征值确定终端的扫描起始特征值,按顺序比对特征值和以扫描特征值,可以有效地保证特征值不被遗漏,从而精确地确定出扫描起始特征值。
[0125]在本发明的一个实施例中,根据不同的至少一个特征值确定终端的扫描起始特征值。具体的,在不同的至少一个特征值中查找到与当前时间间隔最长的特征值,确定与当前时间间隔最长的特征值作为终端的扫描起始特征值。在多个特征值中查找与当前时间间隔最长的特征值,并以该特征值作为起始特征值,可以保证在文件扫描过程中,不遗漏新增加的递增日志,增加文件扫描的可靠性,使得本发明方法对终端文件的扫描既高效又可靠。
[0126]步骤S406,将扫描起始特征值发送至终端,由终端根据扫描起始特征值对应的递增日志对终端中的文件进行增量扫描。
[0127]为了将一种企业级终端文件扫描方法阐述的更加清楚明白,本发明实施例利用一个具体的实施例对其进行详细的说明。图5示出了本发明的具体实施例中的企业级终端文件扫描方法的流程示意图。参见图5所示,该方法至少包括步骤S502至步骤S510。
[0128]步骤S502,接收终端发送的一个或多个特征值,其中,特征值由终端根据存储在本地的递增日志计算得出。
[0129]步骤S504,控制中心查询是否存在已扫描特征值,若存在,则执行步骤S506,若不存在,则执行步骤S508。
步骤S506,将一个或多个特征值与控制中心所记录的已扫描特征值顺序进行比对,确定终端的扫描起始特征值。
[0131]步骤S508,对终端中的文件进行全盘扫描,并将文件扫描特征值发送至控制中心。
[0132]步骤S510,将扫描起始特征值发送至终端,由终端根据扫描起始特征值对应的递增日志对终端中的文件进行增量扫描。
[0133]在本发明的一个实施例中,参见图5所示的企业级终端文件扫描方法的流程示意图,该方法还适用于企业级平台中的采用同一版本的初始安装系统的多台终端,或者适用于在一台终端中设置的多台虚拟机系统。
[0134]基于同一发明构思,本发明还提供了一种企业级终端文件扫描装置,用于支持上述任意一个优选实施例或其组合所提供的企业级终端文件扫描的方法。图6示出了根据本发明一个实施例的企业级终端文件扫描装置的结构示意图。如图6所示,该装置应用于企业级平台中的控制中心,至少可以包括以下模块:接收模块610、比对模块620、发送模块630。
[0135]下面介绍本发明实施例的企业级终端文件扫描装置的各个组件以及各部分之间的连接关系:
[0136]接收模块610,适于接收终端发送的一个或多个特征值,其中,特征值由终端根据存储在本地的递增日志计算得出;
[0137]比对模块620,与接收模块610耦合,适于将一个或多个特征值与控制中心所记录的已扫描特征值顺序进行比对,确定终端的扫描起始特征值;
[0138]发送模块630,与比对模块620耦合,适于将扫描起始特征值发送至终端,由终端根据扫描起始特征值对应的递增日志对终端中的文件进行增量扫描。
[0139]在本发明一个实施例中,比对模块620还适于,将控制中心所记录的已扫描特征值按顺序与终端发送的一个或多个特征值进行比对,得到比对结果,并根据比对结果确定出与控制中心所记录的已扫描特征值不同的至少一个特征值。
[0140]在本发明一个实施例中,根据不同的至少一个特征值确定所述终端的扫描起始特征值,包括在不同的至少一个特征值中查找到与当前时间间隔最长的特征值并确定与当前时间间隔最长的特征值作为终端的扫描起始特征值。
[0141]在本发明一个实施例中,本发明装置适用于企业级平台中的采用同一版本的初始安装系统的多台终端,或者用于在一台终端中设置的多台虚拟机系统。
[0142]根据上述任意一个优选实施例或多个优选实施例的组合,本发明实施例能够达到如下有益效果:
[0143]本发明实施例提出的关于企业级终端文件扫描方法及装置,企业级平台的终端中包括递增日志,当终端中的文件发生变更操作时,在递增日志中增加一条日志记录。当终端接收到触发文件扫描的操作时,获取存储在本地的递增日志,根据递增日志计算该递增日志对应的一个或多个特征值,并将特征值发送至控制中心,再由控