制中心通过比对终端发送对的特征值与已扫描特征值来获得扫描起始特征值或者直接确定扫描起始特征值,终端接收控制中心下发的扫描起始特征值,并根据该扫描起始特征值对应的递增日志对终端中的文件进行增量扫描。由于递增日志只是在原有日志的基础上增加了部分新的日志,而之前存在的日志并没有发生改变,所以本发明只进行文件增量的扫描,省去了每次扫描操作对文件系统都进行全盘扫描的过程,不仅节约了全盘扫描花费的时间,还节省了全盘扫描递增日志所需的空间资源。本发明中确定扫描起始特征值采用在不同的至少一个特征值中查找到与当前时间间隔最长的特征值,这种确定特征值的方法可以保证在以该扫描起始特征值为起点的增量文件扫描更加准确可靠,避免由于计算的失误而对递增日志的增量部分有所遗漏。此外,将递增日志拆分为多段,分别计算各段的特征值以及特征值采用MD5值,则进一步的提高了特征值计算的快速性和准确性。尤其是对于拥有多台终端的企业级平台,文件扫描的效率和安全可靠性是至关重要的,本发明采用的方式,不仅可以大大提高终端文件的扫描效率,同时也提高了企业级平台的工作效率,有利于企业的安全高效运营。
[0144]本发明的实施例公开了:
[0145]A1、一种企业级终端文件扫描方法,应用于包括终端和控制中心的企业级平台,所述终端中包括递增日志,当所述终端中的文件发生变更操作时,在所述递增日志中增加一条日志记录,所述方法包括:
[0146]所述终端接收到触发文件扫描的操作时,获取存储在本地的递增日志;
[0147]根据所述递增日志计算该递增日志对应的一个或多个特征值;
[0148]将所述特征值发送至所述控制中心,由所述控制中心确定扫描起始特征值;
[0149]接收所述控制中心下发的所述扫描起始特征值,并根据所述扫描起始特征值对应的递增日志对所述终端中的文件进行增量扫描。
[0150]A2、根据A1所述的方法,其中,所述根据递增日志计算该递增日志对应的多个特征值,包括:
[0151 ]将所述递增日志拆分为多段;
[0152]分别计算各段的特征值。
[0153]A3、根据A1或2所述的方法,其中,所述特征值包括信息-摘要算法MD5值或者数据加密算法SHA值。
[0154]A4、根据A1至3任一项所述的方法,其中,根据所述扫描起始特征值对应的递增日志对所述终端中的文件进行增量扫描,包括:
[0155]以所述扫描起始特征值对应的递增日志为起点,根据所述新增部分日志记录确定后续的扫描操作所针对的文件,其中,所述针对的文件包括新增的文件和/或现有文件的改变;
[0156]分别对确定的文件进行增量扫描。
[0157]A5、根据A4所述的方法,其中,根据如下方式确定所述扫描起始特征值对应的递增日志为起点,包括:
[0158]利用特征值的反向生成规则,确定所述扫描起始特征值对应的递增日志条目和/或递增日志段落;
[0159]若所述扫描起始特征值对应递增日志条目,则以该递增日志条目作为扫描起点;
[0160]若所述扫描起始特征对应递增日志段落,则以该递增日志段落的第一条作为扫描起点。
[0161]A6、根据A5所述的方法,其中,所述现有文件的改变包括下列至少之一:
[0162]现有文件内容的改变;
[0163]现有文件属性的改变;
[0164]现有文件特征参数的改变。
[0165]A7、根据A1至6任一项所述的方法,其中,所述终端采用新技术文件系统NTFS系统时,所述递增日志采用更新序列号USN文件系统。
[0166]A8、根据A1至7任一项所述的方法,其中,
[0167]所述方法适用于所述企业级平台中的采用同一版本的初始安装系统的多台终端;或者
[0168]所述方法适用于在一台终端中设置的多台虚拟机系统。
[0169]B9、一种企业级终端文件扫描装置,应用于包括终端和控制中心的企业级平台,所述终端中包括递增日志,当所述终端中的文件发生变更操作时,在所述递增日志中增加一条日志记录,所述装置包括:
[0170]获取模块,适于所述终端接收到触发文件扫描的操作时,获取存储在本地的递增日志;
[0171 ]计算模块,适于根据所述递增日志计算该递增日志对应的一个或多个特征值;
[0172]发送模块,适于将所述特征值发送至所述控制中心,由所述控制中心确定扫描起始特征值;
[0173]扫描模块,适于接收所述控制中心下发的所述扫描起始特征值,并根据所述扫描起始特征值对应的递增日志对所述终端中的文件进行增量扫描。
[0174]B10、根据B9所述的装置,其中,所述计算模块还适于:
[0175]将所述递增日志拆分为多段;
[0176]分别计算各段的特征值。
[0177]B11、根据B9或10所述的装置,其中,所述特征值包括MD5值或者SHA值。
[0178]B12、根据B9至11任一项所述的装置,其中,所述扫描模块还适于:
[0179]以所述扫描起始特征值对应的递增日志为起点,根据所述新增部分日志记录确定后续的扫描操作所针对的文件,其中,所述针对的文件包括新增的文件和/或现有文件的改变;
[0180]分别对确定的文件进行增量扫描。
[0181]B13、根据B12所述的装置,其中,根据如下方式确定所述扫描起始特征值对应的递增日志为起点,包括:
[0182]利用特征值的反向生成规则,确定所述扫描起始特征值对应的递增日志条目和/或递增日志段落;
[0183]若所述扫描起始特征值对应递增日志条目,则以该递增日志条目作为扫描起点;
[0184]若所述扫描起始特征对应递增日志段落,则以该递增日志段落的第一条作为扫描起点。
[0185]B14、根据B12所述的装置,其中,所述现有文件的改变包括下列至少之一:
[0186]现有文件内容的改变;
[0187]现有文件属性的改变;
[0188]现有文件特征参数的改变。
[0189]B15、根据B9至14任一项所述的装置,其中,所述终端采用NTFS系统时,所述递增日志采用USN文件系统。
[0190]B16、根据B9至15任一项所述的装置,其中,
[0191]所述装置适用于所述企业级平台中的采用同一版本的初始安装系统的多台终端;或者
[0192]所述装置适用于在一台终端中设置的多台虚拟机系统。
[0193]C17、一种企业级终端文件扫描方法,应用于包括终端和控制中心的企业级平台,所述终端中包括递增日志,当所述终端中的文件发生变更操作时,在所述递增日志中增加一条日志记录,所述方法包括:
[0194]接收所述终端发送的一个或多个特征值,其中,所述特征值由所述终端根据存储在本地的递增日志计算得出;
[0195]将所述一个或多个特征值与所述控制中心所记录的已扫描特征值顺序进行比对,确定所述终端的扫描起始特征值;
[0196]将所述扫描起始特征值发送至所述终端,由所述终端根据所述扫描起始特征值对应的递增日志对所述终端中的文件进行增量扫描。
[0197]C18、根据C17所述的方法,其中,若所述控制中心中未查询到已扫描特征值,所述方法还包括:对所述终端中的文件进行全盘扫描。
[0198]C19、根据C17或18所述的方法,其中,将所述一个或多个特征值与所述控制中心所记录的已扫描特征值顺序进行比对,确定所述终端的扫描起始特征值,包括:
[0199]将所述控制中心所记录的已扫描特征值按顺序与所述终端发送的一个或多个特征值进行比对,得到比对结果;
[0200]根据所述比对结果确定出与所述控制中心所记录的已扫描特征值不同的至少一个特征值;
[0201 ]根据所述不同的至少一个特征值确定所述终端的扫描起始特征值。
[0202]C20、根据C19所述的方法,其中,根据所述不同的至少一个特征值确定所述终端的扫描起始特征值,包括:
[0203]在所述不同的至少一个特征值中查找到与当前时间间隔最长的特征值;
[0204]确定所述与当前时间间隔最长的特征值作为所述终端的扫描起始特征值。
[0205]C21、根据C17至20任一项所述的方法,其中,
[0206]所述方法适用于所述企业级平台中的采用同一版本的初始安装系统的多台终端;或者
[0207]所述方法适用于在一台终端中设置的多台虚拟机系统。
[0208]D22、一种企业级终端文件扫描装置,应用于包括终端和控制中心的企业级平台,所述终端中包括递增日志,当所述终端中的文件发生变更操作时,在所述递增日志中增加一条日志记录,所述装置包括:
[0209]接收模块,适于接收所述终端发送的一个或多个特征值,其中,所述特征值由所述终端根据存储在本地的递增日志计算得出;
[0210]比对模块,适于将所述一个或多个特征值与所述控制中心所记录的已扫描特征值顺序进行比对,确定所述终端的扫描起始特征值;
[0211]发送模块,适于将所述扫描起始特征值发送至所述终端,由所述终端根据所述扫描起始特征值对应的递增日志对所述终端中的文件进行增量扫描。
[0212]D23、根据D22所述的装置,其中,若所述控制中心中未查询到已扫描特征值,则对所述终端中的文件进行全盘扫描。