企業(yè)級終端文件掃描方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計算機技術(shù)領(lǐng)域,特別是涉及一種企業(yè)級終端文件掃描方法及裝置�。
【背景技術(shù)】
[0002]隨著計算機技術(shù)的不斷發(fā)展��,互聯(lián)網(wǎng)的應(yīng)用也越來越廣泛����,從而使人們的生活��、學習和工作受到了很多有益的影響�����。但是在使用互聯(lián)網(wǎng)的過程中,電子設(shè)備很容易受到病毒�、惡意插件的侵害,設(shè)備一旦感染上病毒��,很有可能導致系統(tǒng)中的一些重要文件的損壞�、丟失,嚴重情況下還可能導致系統(tǒng)的癱瘓����,從而給用戶造成巨大的損失。尤其是企業(yè)終端����,對病毒的查殺至關(guān)重要,保證終端系統(tǒng)的安全運作���,是保障企業(yè)良好運營的前提條件���。為了避免終端受到病毒的侵害����,保證用戶可以的安全使用互聯(lián)網(wǎng)���,就需要經(jīng)常查殺系統(tǒng)潛在的病毒,排除惡意軟件對系統(tǒng)的干擾���。
[0003]目前的殺毒軟件掃描病毒普遍采用的是全盤掃描的方式,即枚舉待掃描系統(tǒng)中的文件�����,比如從C盤根目錄枚舉文件,枚舉以后再在一個一個的傳送給后面的殺毒引擎����,多個殺毒引擎在掃描病毒之后得出一個掃描結(jié)果���。這種掃描方式雖然可以有效地查殺出病毒�,但是由于采用的方式為枚舉系統(tǒng)中的文件�����,因此操作起來比較浪費時間����,同時也過于消耗系統(tǒng)資源����。對于有著多臺終端的企業(yè)來說,系統(tǒng)資源的浪費將是巨大的���。因此,需要創(chuàng)造出一種高效安全的企業(yè)級終端文件掃描方法���,在保證終端使用安全的情況下,不僅可以精確地查殺病毒����,還可以節(jié)約掃描時間和系統(tǒng)資源���。
【發(fā)明內(nèi)容】
[0004]鑒于上述問題�,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的一種企業(yè)級終端文件掃描方法及相應(yīng)的裝置����。
[0005]根據(jù)本發(fā)明的一個方面���,提供了一種企業(yè)級終端文件掃描方法��,應(yīng)用于包括終端和控制中心的企業(yè)級平臺,所述終端中包括遞增日志����,當所述終端中的文件發(fā)生變更操作時,在所述遞增日志中增加一條日志記錄�����,所述方法包括:
[0006]所述終端接收到觸發(fā)文件掃描的操作時,獲取存儲在本地的遞增日志�����;
[0007]根據(jù)所述遞增日志計算該遞增日志對應(yīng)的一個或多個特征值�����;
[0008]將所述特征值發(fā)送至所述控制中心,由所述控制中心確定掃描起始特征值����;
[0009]接收所述控制中心下發(fā)的所述掃描起始特征值��,并根據(jù)所述掃描起始特征值對應(yīng)的遞增日志對所述終端中的文件進行增量掃描。
[0010]可選的,所述根據(jù)遞增日志計算該遞增日志對應(yīng)的多個特征值���,包括:
[0011 ]將所述遞增日志拆分為多段�;
[0012]分別計算各段的特征值��。
[0013]可選的,所述特征值包括MD5值或者SHA值�����。
[0014]可選的�,根據(jù)所述掃描起始特征值對應(yīng)的遞增日志對所述終端中的文件進行增量掃描���,包括:
[0015]以所述掃描起始特征值對應(yīng)的遞增日志為起點���,根據(jù)所述新增部分日志記錄確定后續(xù)的掃描操作所針對的文件,其中����,所述針對的文件包括新增的文件和/或現(xiàn)有文件的改變�����;
[0016]分別對確定的文件進行增量掃描���。
[0017]可選的,根據(jù)如下方式確定所述掃描起始特征值對應(yīng)的遞增日志為起點����,包括:
[0018]利用特征值的反向生成規(guī)則,確定所述掃描起始特征值對應(yīng)的遞增日志條目和/或遞增日志段落���;
[0019]若所述掃描起始特征值對應(yīng)遞增日志條目,則以該遞增日志條目作為掃描起點���;
[0020]若所述掃描起始特征對應(yīng)遞增日志段落���,則以該遞增日志段落的第一條作為掃描起點。
[0021 ]可選的����,所述現(xiàn)有文件的改變包括下列至少之一:
[0022]現(xiàn)有文件內(nèi)容的改變;
[0023]現(xiàn)有文件屬性的改變����;
[0024]現(xiàn)有文件特征參數(shù)的改變���。
[0025]可選的,所述終端采用NTFS系統(tǒng)時�,所述遞增日志采用USN文件系統(tǒng)。
[0026]可選的��,所述方法適用于所述企業(yè)級平臺中的采用同一版本的初始安裝系統(tǒng)的多臺終端;或者
[0027]所述方法適用于在一臺終端中設(shè)置的多臺虛擬機系統(tǒng)����。
[0028]根據(jù)本發(fā)明的另一個方面,還提供了一種企業(yè)級終端文件掃描裝置��,應(yīng)用于包括終端和控制中心的企業(yè)級平臺�,所述終端中包括遞增日志,當所述終端中的文件發(fā)生變更操作時�����,在所述遞增日志中增加一條日志記錄����,所述裝置包括:
[0029]獲取模塊,適于所述終端接收到觸發(fā)文件掃描的操作時���,獲取存儲在本地的遞增日志�;
[0030]計算模塊,適于根據(jù)所述遞增日志計算該遞增日志對應(yīng)的一個或多個特征值�;
[0031 ]發(fā)送模塊,適于將所述特征值發(fā)送至所述控制中心�����,由所述控制中心確定掃描起始特征值���;
[0032]掃描模塊��,適于接收所述控制中心下發(fā)的所述掃描起始特征值����,并根據(jù)所述掃描起始特征值對應(yīng)的遞增日志對所述終端中的文件進行增量掃描���。
[0033]可選的,所述計算模塊還適于:
[0034]將所述遞增日志拆分為多段�����;
[0035]分別計算各段的特征值���。
[0036]可選的����,所述特征值包括MD5值或者SHA值。
[0037]可選的����,所述掃描模塊還適于:
[0038]以所述掃描起始特征值對應(yīng)的遞增日志為起點,根據(jù)所述新增部分日志記錄確定后續(xù)的掃描操作所針對的文件�,其中,所述針對的文件包括新增的文件和/或現(xiàn)有文件的改變�;
[0039]分別對確定的文件進行增量掃描。
[0040]可選的�����,根據(jù)如下方式確定所述掃描起始特征值對應(yīng)的遞增日志為起點�����,包括:[0041 ]利用特征值的反向生成規(guī)則�����,確定所述掃描起始特征值對應(yīng)的遞增日志條目和/或遞增日志段落�����;
[0042]若所述掃描起始特征值對應(yīng)遞增日志條目,則以該遞增日志條目作為掃描起點���;
[0043]若所述掃描起始特征對應(yīng)遞增日志段落�,則以該遞增日志段落的第一條作為掃描起點�。
[0044]可選的,所述現(xiàn)有文件的改變包括下列至少之一:
[0045]現(xiàn)有文件內(nèi)容的改變���;
[0046]現(xiàn)有文件屬性的改變����;
[0047]現(xiàn)有文件特征參數(shù)的改變��。
[0048]可選的��,所述終端采用NTFS系統(tǒng)時����,所述遞增日志采用USN文件系統(tǒng)���。
[0049]可選的�����,所述裝置適用于所述企業(yè)級平臺中的采用同一版本的初始安裝系統(tǒng)的多臺終端;或者
[0050]所述裝置適用于在一臺終端中設(shè)置的多臺虛擬機系統(tǒng)�。
[0051]根據(jù)本發(fā)明的另一個方面,還提供了一種企業(yè)級終端文件掃描方法����,應(yīng)用于包括終端和控制中心的企業(yè)級平臺,所述終端中包括遞增日志���,當所述終端中的文件發(fā)生變更操作時�,在所述遞增日志中增加一條日志記錄���,所述方法包括:
[0052]接收所述終端發(fā)送的一個或多個特征值��,其中����,所述特征值由所述終端根據(jù)存儲在本地的遞增日志計算得出����;
[0053]將所述一個或多個特征值與所述控制中心所記錄的已掃描特征值順序進行比對,確定所述終端的掃描起始特征值;
[0054]將所述掃描起始特征值并發(fā)送至所述終端���,由所述終端根據(jù)所述掃描起始特征值對應(yīng)的遞增日志對所述終端中的文件進行增量掃描�。
[0055]可選的��,若所述控制中心中未查詢到已掃描特征值�����,所述方法還包括:對所述終端中的文件進行全盤掃描���。
[0056]可選的�����,將所述一個或多個特征值與所述控制中心所記錄的已掃描特征值順序進行比對���,確定所述終端的掃描起始特征值,包括:
[0057]將所述控制中心所記錄的已掃描特征值按順序與所述終端發(fā)送的一個或多個特征值進行比對����,得到比對結(jié)果;
[0058]根據(jù)所述比對結(jié)果確定出與所述控制中心所記錄的已掃描特征值不同的至少一個特征值�;
[0059]根據(jù)所述不同的至少一個特征值確定所述終端的掃描起始特征值。
[0060]可選的�,根據(jù)所述不同的至少一個特征值確定所述終端的掃描起始特征值,包括:
[0061]在所述不同的至少一個特征值中查找到與當前時間間隔最長的特征值�;
[0062]確定所述與當前時間間隔最長的特征值作為所述終端的掃描起始特征值。
[0063]可選的����,所述方法適用于所述企業(yè)級平臺中的采用同一版本的初始安裝系統(tǒng)的多臺終端;或者
[0064]所述方法適用于在一臺終端中設(shè)置的多臺虛擬機系統(tǒng)。
[0065]根據(jù)本發(fā)明的另一個方面�����,還提供了一種企業(yè)級終端文件掃描裝置���,應(yīng)用于包括終端和控制中心的企業(yè)級平臺�����,所述終端中包括遞增日志��,當所述終端中的文件發(fā)生變更操作時�����,在所述遞增日志中增加一條日志記錄����,所述裝置包括:
[0066]接收模塊,適于接收所述終端發(fā)送的一個或多個特征值�,其中,所述特征值由所述終端根據(jù)存儲在本地的遞增日志計算得出����;
[0067]比對模塊,適于將所述一個或多個特征值與所述控制中心所記錄的已掃描特征值順序進行比對�,確定所述終端的掃描起始特征值;
[0068]發(fā)送模塊��,適于將所述掃描起始特征值并發(fā)送至所述終端����,由所述終端根據(jù)所述掃描起始特征值對應(yīng)的遞增日志對所述終端中的文件進行增量掃描。
[0069]可選的����,所述的裝置還包括:若所述控制中心中未查詢到已掃描特征值,則對所述終端中的文件進行全盤掃描���。
[0070]可選的���,所述比對模塊還適于:
[0071]將所述控制中心所記錄的已掃描特征值按順序與所述終端發(fā)送的一個或多個特征值進行比對�,得到比對結(jié)果�;
[0072]根據(jù)所述比對結(jié)果確定出