本发明专利技术涉及一种基于虚拟化环境的查杀方法及装置。所述方法包括:接收文件的访问请求;根据文件的访问请求获得文件信息;根据所述文件信息,获取文件标识;根据所述文件标识在可信文件记录中查找对应的可信项;若未查找到对应的可信项,则将所述文件送往安全虚拟机进行检测;接收所述安全虚拟机返回的检测结果;若所述检测结果为文件安全,则将所述文件标识添加到可信文件记录中,并将所述文件存入可信文件缓存。该方法通过利用可信文件记录的方法,减少了文件送往安全虚拟机进行检测的次数,使得可信文件不用每次都经过同样的检测,并且可以直接从可信文件缓存中取用文件,提高了文件访问效率。
【技术实现步骤摘要】
基于虚拟化环境的查杀方法及装置
本专利技术涉及病毒查杀方法及装置,特别是涉及一种基于虚拟化环境的查杀方法及装置。
技术介绍
随着云计算的不断普及,虚拟化技术的应用越来越广。Gartner预测,到2016年,企业数据中心50%的安全控制将是虚拟化的。同时,虚拟化环境下的安全防护问题也日益突显。因此,针对虚拟化环境的安全部署方案十分重要。早期的虚拟机病毒防护采用代理模式和无代理模式防病毒。在无代理模式中,需将一台虚拟机作为安全虚拟机,管理虚拟化环境下的其他虚拟机的安全。虚拟机上的文件被访问时都要先通过安全虚拟机检查然后再进行文件访问。这样虽然保证了文件的安全,但如果反复对同一文件进行检测,却导致了文件访问效率过低。
技术实现思路
基于此,有必要针对文件访问效率过低的问题,提供基于虚拟化环境的查杀方法及装置。一种基于虚拟化环境的查杀方法,包括:接收文件的访问请求;根据文件的访问请求获得文件信息;根据所述文件信息,获取文件标识;根据所述文件标识在可信文件记录中查找对应的可信项;若未查找到对应的可信项,则将所述文件送往安全虚拟机进行检测;接收所述安全虚拟机返回的检测结果;若所述检测结果为文件安全,则将所述文件标识添加到可信文件记录中,并将所述文件存入可信文件缓存。一种基于虚拟化环境的查杀装置,包括:访问请求接收模块,用于接收文件的访问请求;文件信息获取模块,用于根据文件的访问请求获得文件信息;文件标识获取模块,用于根据所述文件信息,获取文件标识;可信文件查找模块,用于根据所述文件标识在可信文件记录中查找对应的可信项;文件传送模块,用于若未查找到对应的可信项,则将所述文件送往安全虚拟机进行检测;检测结果接收模块,用于接收所述安全虚拟机返回的检测结果;可信文件记录更新模块,用于若所述检测结果为文件安全,则将所述文件标识添加到可信文件记录中,并将所述文件存入可信文件缓存。上述基于虚拟化环境的查杀方法及装置,先通过获取的文件信息获得文件标识,然后根据文件标识值从可信文件记录中查找该文件的信息,当可信文件记录没有对应的可信项时,才送往安全虚拟机进行进一步检测,并非直接送往安全虚拟机检测。在安全虚拟机返回结果安全时,将文件标识添加到可信文件记录中,下次查找时即可以找到对应的可信项,确认其为安全文件。同时,将文件存入可信文件缓存,下次访问该文件时,可直接从缓存中取用文件。该方法和装置利用可信文件记录的方法,减少了文件送往安全虚拟机进行检测的次数,使得可信文件不用每次都经过同样的检测,并且可以直接从可信文件缓存中取用文件,提高了文件访问效率。附图说明图1为一个实施例中的基于虚拟化环境的查杀方法的流程图;图2为一个实施例中的将多个第一成员与多个所述第二成员按照排列顺序一一进行比较的流程示意图;图3为一个实施例中的基于虚拟化环境的查杀装置的结构框图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本专利技术,并不用于限定本专利技术。使用无代理模式的防病毒方法中,物理主机上配置有安全虚拟机及虚拟机客户端,安全虚拟机对虚拟客户端进行安全防护。在虚拟机客户端中将有与PCI(PeripheralComponentInterconnection,外围设备互联)插槽连接的设备(简称PCI设备)。一台计算机可以连接多个PCI设备,每台PCI设备需要相应的驱动程序来与计算机进行通讯。其中有一块特殊的PCI设备用于客户机与安全虚拟机之间的通信。相应地,此PCI设备具有PCI驱动程序完成这一任务。所述PCI驱动程序能够捕获系统内对文件的操作(如文件的打开、复制、读写等),也可以先将文件和文件的相关信息通过此驱动程序发送给安全虚拟机,从而进行检测或其他防病毒相关的工作。如图1所示,在一个实施例中,提供了一种基于虚拟化环境的查杀方法,该方法具体包括以下步骤:步骤102,接收文件的访问请求。在步骤102中,客户端程序例如文件监控程序或者文件扫描程序等捕获到对文件的访问请求。步骤104,根据文件的访问请求获得文件信息。在步骤104中,对即将访问的文件进行安全检测来确定文件是否被病毒感染。进行安全检测需要文件信息,客户端程序通过调用线程、函数或者其他方法获取所需的文件信息。步骤106,根据所述文件信息,获得文件标识。在步骤106中,客户端在获取到所需的文件信息之后,可通过数学计算、函数运算或者其他方式获得文件标识,作为该文件的唯一标识,用于与其他文件区分。步骤108,根据所述文件标识在可信文件记录中查找对应的可信项。在步骤108中,客户端可通过将该文件标示值与可信文件记录中的可信项进行一一比对,以在可信文件记录中查找该文件标识的对应项是否存在,来初步判定所述文件是否安全。步骤110,接收所述安全虚拟机返回的检测结果。在步骤110中,安全虚拟机进行安全检测后将把结果返回给客户端,客户端接收安全虚拟机返回的结果。步骤112,若未查找到所述对应项,则将所述文件送往安全虚拟机进行检测。在步骤112中,若客户端的查找结果为可信文件记录中不存在与所述文件标识相应的相应时,则将文件发送给安全虚拟机,由安全虚拟机进行检测。安全虚拟机在进行文件检测后将会返回结果。相应的,若可信文件记录中存在与该文件标识相对应的对应项,则不需要进行排查,可以直接访问文件。步骤114,若所述检测结果为文件安全,则将所述文件标识添加到可信文件记录中,并将所述文件存入可信文件缓存。在步骤114中,客户端接收所述安全虚拟机返回的检测结果,若检测结果为文件安全,则将所述文件标识添加到可信文件记录中来记录此文件是安全的,将文件存入可信文件缓存以便下次访问时取用。此时,安全的文件可以直接进行访问。具体的:在一个实施例中,步骤104所述的文件信息包括但不限于:文件的路径和文件的大小。文件的路径通常是字符串的形式表达的文件绝对路径,文件的大小通常是以KB为单位的数值。所述文件信息的其他参数还可以包括文件的类型,创建时间,修改时间等。在本实施例中,仅以文件的路径和文件的大小作为文件信息。在一个实施例中,步骤106所述的文件信息通常在消息或参数中以字符串或者数值的方式保存传递,其也可以被转换成字符串。可以通过字符串拼接函数、其他函数或者其他计算方法将文件信息中所包含的字符拼接成一个字符串。对拼接后形成的字符串,进行哈希运算,即得到所述文件标识。在本实施例中,哈希运算可以是采取任意加密算法的运算或任意其他算法。在一个实施例中,步骤108中所述的可信文件记录包括多个可信项,所述可信项按照树状结构排列。在本实施例中,可信文件记录按照红黑树结构组织,利于提高查找效率。可信文件记录中的每个可信项对应红黑树中的一个节点,例如子节点或叶节点。当开始根据文件标识查找可信文件记录之前,可先将文件标识进行一次哈希运算,来确定从红黑树中的哪一个节点开始进行查找,以缩小查找范围、加快查找速度,提高查杀效率。之后,对此节点所包含的所有子节点开始进行查找,查找过程如下:首先,将所述文件标识拆分为多个第一成员,并以相同的拆分方式将可信项拆分为多个第二成员。所述的拆分方法可以是通过现有函数或者是其他计算方法。本实施例中,为了说明方便,文件标识的拆分本文档来自技高网...
【技术保护点】
一种基于虚拟化环境的查杀方法,其特征在于,所述方法包括:接收文件的访问请求;根据文件的访问请求获得文件信息;根据所述文件信息,获取文件标识;根据所述文件标识在可信文件记录中查找对应的可信项;若未查找到对应的可信项,则将所述文件送往安全虚拟机进行检测;接收所述安全虚拟机返回的检测结果;若所述检测结果为文件安全,则将所述文件标识添加到可信文件记录中,并将所述文件存入可信文件缓存。
【技术特征摘要】
1.一种基于虚拟化环境的查杀方法,其特征在于,所述方法包括:接收文件的访问请求;根据文件的访问请求获得文件信息;根据所述文件信息,获取文件标识;根据所述文件标识在可信文件记录中查找对应的可信项;若未查找到对应的可信项,则将所述文件送往安全虚拟机进行检测;接收所述安全虚拟机返回的检测结果;若所述检测结果为文件安全,则将所述文件标识添加到可信文件记录中,并将所述文件存入可信文件缓存。2.根据权利要求1所述的基于虚拟化环境的查杀方法,其特征在于,所述文件信息包括文件的路径和文件的大小。3.根据权利要求1或2所述的基于虚拟化环境的查杀方法,其特征在于,所述根据所述文件信息,获取文件标识的步骤包括:将所述文件信息中包含的字符拼接成字符串;计算所述字符串的哈希值,并将所述哈希值作为文件标识。4.根据权利要求1所述的基于虚拟化环境的查杀方法,其特征在于,所述可信文件记录包括多个可信项,所述可信项按照树状结构排列。5.根据权利要求1所述的基于虚拟化环境的查杀方法,其特征在于,所述根据所述文件标识在可信文件记录中查找对应的可信项包括:将所述文件标识拆分为多个第一成员,并以相同的拆分方式将可信项拆分为多个第二成员;将所述多个第一成员与多个所述第二成员按照排列顺序一一进行比较;若所述多个第一成员组与所述多个第二成员均相同,则在可信文件记录中查找到对应的可信项。6.根据权利要求1所述的基于虚拟化环境的查杀方法,其特征在于,所述可信文件缓存包括最近N个检测结果为文件安全的可信文件,其中N为预设阈值。7.一种基于...
【专利技术属性】
技术研发人员:王宇星,
申请(专利权)人:北京瑞星信息技术股份有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。