CN103150518B - 一种文件实时防护的方法和装置 - Google Patents
一种文件实时防护的方法和装置 Download PDFInfo
- Publication number
- CN103150518B CN103150518B CN201310096441.1A CN201310096441A CN103150518B CN 103150518 B CN103150518 B CN 103150518B CN 201310096441 A CN201310096441 A CN 201310096441A CN 103150518 B CN103150518 B CN 103150518B
- Authority
- CN
- China
- Prior art keywords
- protection
- degree
- monitoring mode
- file
- computer system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例公开了一种文件实时防护的方法和装置,其中方法包括:在进行文件实时防护的过程中,确定计算机系统的当前环境安全度;选择与所述当前环境安全度对应的监控模式对所述计算机系统进行文件实时防护;当前环境安全度越高监控模式防护等级越低,当前环境安全度越低监控模式防护等级越高。将计算机系统环境划分成不同环境安全度,多种监控模式匹配不同的环境安全度,保证计算机的安全使用,又能够降低安全软件对计算机系统的流畅性以及用户体验。
Description
技术领域
本发明涉及计算机技术领域,特别涉及一种文件实时防护的方法和装置。
背景技术
面对计算机不断迅猛发展的今天,计算机的使用已经完全融入了生活的各个角落,人们的生活质量也随着计算机的普及而有了大的提高。所谓有利则会有弊,计算机给人类生活带来了便捷的同时,也为黑色产业链带来了契机。病毒木马就搭着这个黑色产业链迅速发展的顺风车,也一同进入了人们的计算机中。而这一结果就导致了大量的用户财产损失和其他隐私被窥窃等风险。
为了防止病毒木马对用户造成损害,安全软件也在这个巨大的风险里面得到了长足的发展。为了能够全方位的保护计算机使用者,安全软件从以往的只会用户点击才手动杀毒,发展到计划任务一段时间就杀一次毒。可是,这还不够实时,演变到今天的文件实时防护;文件实时防护,是指只要有文件操作产生就能实时监控到病毒木马的入侵。因而,安全软件发现风险的反应速度得到了极大的提高。
文件实时防护技术的确是扼杀病毒木马入侵的利器,但是同样是具有两面性的。用户使用计算机不仅仅是需要安全,同样需要一个流畅的使用体验和顺畅的计算机环境,可想而知的是计算机不流畅的情况下安全也将失色进而失去意义。目前文件实时防护技术对计算机系统流畅性的影响还是比较多的,因为计算机系统的资源有限,而文件操作事件具有量大且不可控的特点,因而容易造成对用户的体验影响,让用户感受到系统响应缓慢等问题。这也是安全软件进步后,用户体验中最大的弊端,影响电脑的流畅度。
于是如何既能保证计算机的安全使用,又能够降低安全软件对计算机系统的流畅性以及用户体验,就成了文件实时防护这个功能优劣的关键所在,也是各个安全软件相互比较和优劣的关键点之一。
发明内容
本发明实施例提供了一种文件实时防护的方法和装置,用于提供文件实时防护的的方案,用来保证计算机的安全使用,又能够降低安全软件对计算机系统的流畅性以及用户体验。
一种文件实时防护的方法,包括:
在进行文件实时防护的过程中,确定计算机系统的当前环境安全度;
选择与所述当前环境安全度对应的监控模式对所述计算机系统进行文件实时防护;当前环境安全度越高监控模式防护等级越低,当前环境安全度越低监控模式防护等级越高。
一种文件实时防护的装置,包括:
安全度确定单元,用于在防护处理单元进行文件实时防护的过程中,确定计算机系统的当前环境安全度;
模式选择单元,用于选择与所述当前环境安全度对应的监控模式;当前环境安全度越高监控模式防护等级越低,当前环境安全度越低监控模式防护等级越高;
防护处理单元,用于使用模式选择单元选择的监控模式对所述计算机系统进行文件实时防护。
从以上技术方案可以看出,本发明实施例具有以下优点:将计算机系统环境划分成不同环境安全度,多种监控模式匹配不同的环境安全度,保证计算机的安全使用,又能够降低安全软件对计算机系统的流畅性以及用户体验。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例方法流程示意图;
图2为本发明实施例方法流程示意图;
图3为本发明实施例方法流程示意图;
图4为本发明实施例方法流程示意图;
图5为本发明实施例装置结构示意图;
图6为本发明实施例另一装置结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
申请人首先对文件实时防护的方案进行了分析,目前的文件实时防护方案主要有两种类型:一种是侧重机器安全的方案,一种则是侧重用户机器性能的方案。
其中侧重机器安全的方案,一般是监控特定的文件操作事件,然后对监控到的事件,进行扫描杀毒处理,并且对于文件运行等操作全部同步拦截,做到完全不会放过一个风险的可能,安全性高但是需要占用较多的计算机系统资源。
侧重机器性能的方案,一般是监控特定的文件操作事件,然后只扫描部分情况下的文件,文件运行等操作是异步扫描的,可以减少对计算机系统资源的占用。该方案,对于文件写入等操作,只监控部分特殊风险目录等,扫描量小,但是安全性较低。
以上两类方案中,侧重机器安全的方案,监控了大量的系统事件,产生了大量的扫描开销,导致计算机系统运行缓慢,用户体验不流畅,效果差。侧重机器性能的方案,只监控特定规则的文件操作,扫描量小,对计算机系统性能影响较小,但是,由于只扫描特定规则的文件,不在这个规则之内的操作就发现不了了,部分病毒木马入侵会钻这个监控漏洞,存在安全风险。
总的来说,缺点就是现有技术很难做到平衡性能和安全,做不到既有良好的性能体验,运行流畅,又有不俗的安全能力,不会降低对用户的安全保障,带来风险。
本发明实施例提供了一种文件实时防护的方法,如图1所示,包括:
101:在进行文件实时防护的过程中,确定计算机系统的当前环境安全度;
从目前的计算机环境和全年的统计来看,计算机上出现恶意程序风险的可能性大致在几个百分点这个级别。也就是说绝大部分用户计算机环境是安全和无风险的,且大部分时间内用户其实都没有安全风险。也就是说用户的机器实际上并不一定要采用时时刻刻的全部扫描来保证安全。只要在关键触发风险的时候做到全面拦截风险即可。这样一来大部分情况下,只需要轻量的扫描即可解决问题,而又不会产生安全风险。因此本步骤确定计算机系统的当前环境安全度则可以为确定当前计算机系统是否处于安全状态。
102:选择与上述当前环境安全度对应的监控模式对上述计算机系统进行文件实时防护;当前环境安全度越高监控模式防护等级越低,当前环境安全度越低监控模式防护等级越高。
监控模式防护等级低的时候,可以称为哨兵策略,根据计算机环境划分的风险等级,来排布监控哨兵。当计算机系统环境干净,没有风险的时候,只需要布置少量的监控哨兵,及时发现风险即可。对于计算机系统环境存在恶意风险的时候,再把哨兵全面展开,布置足够保证安全的哨兵,即可做到第一时间扼杀风险。可以理解的是,监控模式可以是两种也可以是两种以上,各监控模式对应有防护等级,防护等级高如何设置,防护等级低如何设置可以由研发人员设定,本发明实施例在后续实施例中将给出举例说明,但是设置的方式可以有很多种,并不限定于后续举例。
以上方案,将计算机系统环境划分成不同环境安全度,多种监控模式匹配不同的环境安全度,保证计算机的安全使用,又能够降低安全软件对计算机系统的流畅性以及用户体验。
进一步地,本发明实施例还提供了智能切换监控模式的方案,上述方法还包括:
在进行文件实时防护的过程中,若监测到风险数据,则选择比当前监控模式防护等级高的监控模式,然后对上述计算机系统进行文件实时防护。
可选地,上述监控模式包括至少两个监控模式,监控模式的防护等级越高占用的计算机系统资源越多,监控模式的防护等级越低占用的计算机系统资源越少。可以理解的是监控模式还可以继续细分为更多的监控模式,对应更多的防护等级,以上两种监控模式作为一个优选方案不应理解为对本发明实施例的限定。
进一步地,本发明实施例还提供了另外一种智能切换监控模式的方案,上述方法还包括:
在进行文件实时防护的过程中,若预定时间内未监测到风险数据,则选择比当前监控模式防护等级低的监控模式,然后对上述计算机系统进行文件实时防护。
可选地,本发明实施例还给出了防护等级采用的防护策略的举例说明,具体地:防护等级低的监控模式包括:
规则过滤设定的部分事件、文件执行事件异步监测、文件写入事件按设定规则过滤拦截、对设定的需要拦截的事件进行文件扫描。
可选地,本发明实施例还给出了防护等级采用的防护策略的举例说明,具体地:防护等级高的监控模式包括:
规则过滤设定的部分事件、文件执行事件同步监测、文件写入事件全面拦截、对拦截的事件进行文件扫描。
本发明实施例提出了一个新的思路,将计算机系统环境分为不同的风险等级场景,对于不同的场景,执行不同的监控拦截策略。以下实施例以前述两种类型的文件实时防护的方案为例,进行详细说明,如下:
从目前的计算机环境和全年的统计来看,计算机上出现恶意程序风险的可能性大致在几个百分点这个级别。也就是说绝大部分用户计算机环境是安全和无风险的,且大部分时间内用户其实都没有安全风险。也就是说用户的机器实际上并不一定要采用时时刻刻的全部扫描来保证安全。只要在关键触发风险的时候做到全面拦截风险即可。这样一来大部分情况下,只需要轻量的扫描即可解决问题,而又不会产生安全风险。因此本步骤确定计算机系统的当前环境安全度则可以为确定当前计算机系统是否处于安全状态。
本发明实施例的整个实现方式,类似于哨兵策略,根据计算机环境划分的风险等级,来排布监控哨兵。当计算机系统环境干净,没有风险的时候,只需要布置少量的监控哨兵,及时发现风险即可。对于计算机系统环境存在恶意风险的时候,再把哨兵全面展开,布置足够保证安全的哨兵,即可做到第一时间扼杀风险。
本发明实施例具体实施思路如下,文件实时防护具备多套监控模式,有侧重性能的低资源模式,有侧重安全的高安全模式。侧重性能的低资源模式,只会监控特定的事件以及特定规则的文件,既只扫描少量的文件,起到边界哨兵的作用,主要是堵住病毒木马入侵的第一案发现场。侧重安全的高安全模式,则会监控所有文件操作事件的文件,起到扼杀风险的作用,保障计算机系统安全。两套模式是动态智能切换的,切换的条件是计算机系统的环境场景。当在低资源模式的运行状态下,边界哨兵检测到有病毒木马入侵,则立即动态将文件实时防护模式切换到高安全模式,抵御风险,全面保护机器安全。当在高安全模式的运行状态下,一段时间内没有再检出病毒木马,即计算机系统环境已经安全和没有风险,则动态切换为低资源模式监控,恢复到对纯净环境下的拦截的低资源模式,对用户的影响非常小,机器运行流畅。
总的来说,整个实施过程,具备自适应能力,将计算机系统环境划分成不同场景,多种模式自动匹配最适合的场景,做到对用户影响小,体验流畅,而安全能力也有保障的平衡。
以下对文件实施防护的流程进行详细说明,文件实施防护分为三个部分:
1、低资源模式的文件实施防护、2、高安全模式的文件实施防护、3、文件实施防护的防护模式的智能动态切换。
一、低资源模式的文件实施防护,拦截步骤如图2所示,包括:
201:文件操作事件触发。即计算机系统出现了文件操作事件。
202:判断是否为特定事件,如果是进入203,否则进入206;该步骤特定事件可以是写入,执行事件;该步骤的目的是:规则过滤部分事件,只监控写入,执行事件;即:按照预定的规则对201出现的文件操作事件进行过滤。
203:低资源模式规则过滤,只扫描特定文件,具体可以是:文件执行事件,转异步,不同步拦截;文件写入事件,按特定规则过滤,只拦截高风险情况下的文件。
204:判断是否需要扫描;如果是,进入205;否则进入207;其中203中需要拦截的文件一般就是需要扫描的文件。
205:开始扫描,确定是否是恶意程序。
206:放行不关注的无意义事件。
207:放行过低资源滤规则事件。
二、高安全模式的文件实施防护,拦截步骤如图3所示,包括:
301:文件操作事件触发。即计算机系统出现了文件操作事件。
302:判断是否为特定事件,如果是进入303,否则进入304;该步骤特定事件可以是写入,执行事件;该步骤的目的是:规则过滤部分事件,只监控写入,执行事件;即:按照预定的规则对301出现的文件操作事件进行过滤。
303:文件执行事件,同步拦截;文件写入事件,不过滤,全面拦截;对于拦截的文件,开始扫描;
304:放行不关注的无意义事件。
三、文件实施防护的防护模式的智能动态切换,如图4所示,包括:
401:运行在低资源模式的状态;
402:判断是否监控检测到有病毒木马,进入403;否则进入401;
403:立即将拦截模式,动态切换到高安全模式;
404:运行在高安全模式的状态;
405:监控一段时间内,确定是否有病毒木马检测到;如果有,进入404,否则进入406;
406:切换到低资源模式,进入401。
本发明实施例还提供了一种文件实时防护的装置,如图5所示,包括:
安全度确定单元501,用于在防护处理单元503进行文件实时防护的过程中,确定计算机系统的当前环境安全度;
模式选择单元502,用于选择与上述当前环境安全度对应的监控模式;当前环境安全度越高监控模式防护等级越低,当前环境安全度越低监控模式防护等级越高;
防护处理单元503,用于使用模式选择单元502选择的监控模式对上述计算机系统进行文件实时防护。
以上方案,将计算机系统环境划分成不同环境安全度,多种监控模式匹配不同的环境安全度,保证计算机的安全使用,又能够降低安全软件对计算机系统的流畅性以及用户体验。
进一步地,本发明实施例还提供了智能切换监控模式的方案,上述模式选择单元502,用于还用于在上述防护处理单元503进行文件实时防护的过程中,若监测到风险数据,则选择比当前监控模式防护等级高的监控模式。
可选地,上述模式选择单元502可选的监控模式包括至少两个监控模式,监控模式的防护等级越高占用的计算机系统资源越多,监控模式的防护等级越低占用的计算机系统资源越少。可以理解的是监控模式还可以继续细分为更多的监控模式,对应更多的防护等级,以上两种监控模式作为一个优选方案不应理解为对本发明实施例的限定。
进一步地,本发明实施例还提供了另外一种智能切换监控模式的方案,模式选择单元502,还用于在上述防护处理单元503在进行文件实时防护的过程中,若预定时间内未监测到风险数据,则选择比当前监控模式防护等级低的监控模式,然后对上述计算机系统进行文件实时防护。
可选地,本发明实施例还给出了防护等级采用的防护策略的举例说明,具体地:防护处理单元503,具体用于若模式选择单元502选择的是防护等级低的监控模式,则使用规则过滤设定的部分事件、文件执行事件异步监测、文件写入事件按设定规则过滤拦截、对设定的需要拦截的事件进行文件扫描来对上述计算机系统进行文件实时防护。
可选地,本发明实施例还给出了防护等级采用的防护策略的举例说明,具体地:防护处理单元503,具体用于若模式选择单元502选择的是防护等级高的监控模式,则使用规则过滤设定的部分事件、文件执行事件同步监测、文件写入事件全面拦截、对拦截的事件进行文件扫描来对上述计算机系统进行文件实时防护。
本发明实施例还提供了另一种图像显示控制装置,如图6所示,为了便于说明,仅示出了与本发明实施例相关的部分,具体技术细节未揭示的,请参照本发明实施例方法部分。该终端可以为包括手机、平板电脑、PDA(PersonalDigitalAssistant,个人数字助理)、POS(PointofSales,销售终端)、车载电脑等任意终端设备,以终端为手机为例:
图6示出的是与本发明实施例提供的终端相关的手机的部分结构的框图。参考图6,手机包括:射频(RadioFrequency,RF)电路610、存储器620、输入单元630、显示单元640、传感器650、音频电路660、无线保真(wirelessfidelity,WiFi)模块670、处理器680、以及电源690等部件。本领域技术人员可以理解,图6中示出的手机结构并不构成对手机的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
下面结合图6对手机的各个构成部件进行具体的介绍:
RF电路610可用于收发信息或通话过程中,信号的接收和发送,特别地,将基站的下行信息接收后,给处理器680处理;另外,将设计上行的数据发送给基站。通常,RF电路包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器(LowNoiseAmplifier,LNA)、双工器等。此外,RF电路60还可以通过无线通信与网络和其他设备通信。上述无线通信可以使用任一通信标准或协议,包括但不限于全球移动通讯系统(GlobalSystemofMobilecommunication,GSM)、通用分组无线服务(GeneralPacketRadioService,GPRS)、码分多址(CodeDivisionMultipleAccess,CDMA)、宽带码分多址(WidebandCodeDivisionMultipleAccess,WCDMA)、长期演进(LongTermEvolution,LTE)、电子邮件、短消息服务(ShortMessagingService,SMS)等。
存储器620可用于存储软件程序以及模块,处理器680通过运行存储在存储器620的软件程序以及模块,从而执行手机的各种功能应用以及数据处理。存储器620可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器620可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
输入单元630可用于接收输入的数字或字符信息,以及产生与手机600的用户设置以及功能控制有关的键信号输入。具体地,输入单元630可包括触控面板631以及其他输入设备632。触控面板631,也称为触摸屏,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板631上或在触控面板631附近的操作),并根据预先设定的程式驱动相应的连接装置。可选的,触控面板631可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器680,并能接收处理器680发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板631。除了触控面板631,输入单元630还可以包括其他输入设备632。具体地,其他输入设备632可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
显示单元640可用于显示由用户输入的信息或提供给用户的信息以及手机的各种菜单。显示单元640可包括显示面板641,可选的,可以采用液晶显示器(LiquidCrystalDisplay,LCD)、有机发光二极管(OrganicLight-EmittingDiode,OLED)等形式来配置显示面板641。进一步的,触控面板631可覆盖显示面板641,当触控面板631检测到在其上或附近的触摸操作后,传送给处理器680以确定触摸事件的类型,随后处理器680根据触摸事件的类型在显示面板641上提供相应的视觉输出。虽然在图6中,触控面板631与显示面板641是作为两个独立的部件来实现手机的输入和输入功能,但是在某些实施例中,可以将触控面板631与显示面板641集成而实现手机的输入和输出功能。
手机600还可包括至少一种传感器650,比如光传感器、运动传感器以及其他传感器。具体地,光传感器可包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节显示面板641的亮度,接近传感器可在手机移动到耳边时,关闭显示面板641和/或背光。作为运动传感器的一种,加速计传感器可检测各个方向上(一般为三轴)加速度的大小,静止时可检测出重力的大小及方向,可用于识别手机姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等;至于手机还可配置的陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器,在此不再赘述。
音频电路660、扬声器661,传声器662可提供用户与手机之间的音频接口。音频电路660可将接收到的音频数据转换后的电信号,传输到扬声器661,由扬声器661转换为声音信号输出;另一方面,传声器662将收集的声音信号转换为电信号,由音频电路660接收后转换为音频数据,再将音频数据输出处理器680处理后,经RF电路610以发送给比如另一手机,或者将音频数据输出至存储器620以便进一步处理。
WiFi属于短距离无线传输技术,手机通过WiFi模块670可以帮助用户收发电子邮件、浏览网页和访问流式媒体等,它为用户提供了无线的宽带互联网访问。虽然图6示出了WiFi模块670,但是可以理解的是,其并不属于手机600的必须构成,完全可以根据需要在不改变发明的本质的范围内而省略。
处理器680是手机的控制中心,利用各种接口和线路连接整个手机的各个部分,通过运行或执行存储在存储器620内的软件程序和/或模块,以及调用存储在存储器620内的数据,执行手机的各种功能和处理数据,从而对手机进行整体监控。可选的,处理器680可包括一个或多个处理单元;优选的,处理器680可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器680中。
手机600还包括给各个部件供电的电源690(比如电池),优选的,电源可以通过电源管理系统与处理器680逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。
尽管未示出,手机600还可以包括摄像头、蓝牙模块等,在此不再赘述。
在本发明实施例中,该终端所包括的处理器680还具有以下功能:
在进行文件实时防护的过程中,确定计算机系统的当前环境安全度;
选择与上述当前环境安全度对应的监控模式对上述计算机系统进行文件实时防护;当前环境安全度越高监控模式防护等级越低,当前环境安全度越低监控模式防护等级越高。
从目前的计算机环境和全年的统计来看,计算机上出现恶意程序风险的可能性大致在几个百分点这个级别。也就是说绝大部分用户计算机环境是安全和无风险的,且大部分时间内用户其实都没有安全风险。也就是说用户的机器实际上并不一定要采用时时刻刻的全部扫描来保证安全。只要在关键触发风险的时候做到全面拦截风险即可。这样一来大部分情况下,只需要轻量的扫描即可解决问题,而又不会产生安全风险。因此本步骤确定计算机系统的当前环境安全度则可以为确定当前计算机系统是否处于安全状态。
监控模式防护等级低的时候,可以称为哨兵策略,根据计算机环境划分的风险等级,来排布监控哨兵。当计算机系统环境干净,没有风险的时候,只需要布置少量的监控哨兵,及时发现风险即可。对于计算机系统环境存在恶意风险的时候,再把哨兵全面展开,布置足够保证安全的哨兵,即可做到第一时间扼杀风险。可以理解的是,监控模式可以是两种也可以是两种以上,各监控模式对应有防护等级,防护等级高如何设置,防护等级低如何设置可以由研发人员设定,本发明实施例在后续实施例中将给出举例说明,但是设置的方式可以有很多种,并不限定于后续举例。
以上方案,将计算机系统环境划分成不同环境安全度,多种监控模式匹配不同的环境安全度,保证计算机的安全使用,又能够降低安全软件对计算机系统的流畅性以及用户体验。
进一步地,本发明实施例还提供了智能切换监控模式的方案,处理器680还用于在进行文件实时防护的过程中,若监测到风险数据,则选择比当前监控模式防护等级高的监控模式,然后对上述计算机系统进行文件实时防护。
可选地,上述监控模式包括至少两个监控模式,监控模式的防护等级越高占用的计算机系统资源越多,监控模式的防护等级越低占用的计算机系统资源越少。
可以理解的是监控模式还可以继续细分为更多的监控模式,对应更多的防护等级,以上两种监控模式作为一个优选方案不应理解为对本发明实施例的限定。
进一步地,本发明实施例还提供了另外一种智能切换监控模式的方案,处理器680还用于在进行文件实时防护的过程中,若预定时间内未监测到风险数据,则选择比当前监控模式防护等级低的监控模式,然后对上述计算机系统进行文件实时防护。
可选地,防护等级低的监控模式包括:
规则过滤设定的部分事件、文件执行事件异步监测、文件写入事件按设定规则过滤拦截、对设定的需要拦截的事件进行文件扫描。
可选地,防护等级高的监控模式包括:
规则过滤设定的部分事件、文件执行事件同步监测、文件写入事件全面拦截、对拦截的事件进行文件扫描。
值得注意的是,上述装置实施例中,所包括的各个单元只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
另外,本领域普通技术人员可以理解实现上述各方法实施例中的全部或部分步骤是可以通过程序来指令相关的硬件完成,相应的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明实施例揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (8)
1.一种文件实时防护的方法,其特征在于,包括:
在进行文件实时防护的过程中,确定计算机系统的当前环境安全度;
选择与所述当前环境安全度对应的监控模式对所述计算机系统进行文件实时防护;当前环境安全度越高监控模式防护等级越低,当前环境安全度越低监控模式防护等级越高;所述监控模式包括至少两个监控模式,监控模式的防护等级越高占用的计算机系统资源越多,监控模式的防护等级越低占用的计算机系统资源越少;
防护等级低的监控模式包括:规则过滤设定的部分事件、文件执行事件异步监测、文件写入事件按设定规则过滤拦截、对设定的需要拦截的事件进行文件扫描。
2.根据权利要求1所述方法,其特征在于,还包括:
在进行文件实时防护的过程中,若监测到风险数据,则选择比当前监控模式防护等级高的监控模式,然后对所述计算机系统进行文件实时防护。
3.根据权利要求1或2所述方法,其特征在于,还包括:
在进行文件实时防护的过程中,若预定时间内未监测到风险数据,则选择比当前监控模式防护等级低的监控模式,然后对所述计算机系统进行文件实时防护。
4.根据权利要求1或2所述方法,其特征在于,防护等级高的监控模式包括:
规则过滤设定的部分事件、文件执行事件同步监测、文件写入事件全面拦截、对拦截的事件进行文件扫描。
5.一种文件实时防护的装置,其特征在于,包括:
安全度确定单元,用于在防护处理单元进行文件实时防护的过程中,确定计算机系统的当前环境安全度;
模式选择单元,用于选择与所述当前环境安全度对应的监控模式;当前环境安全度越高监控模式防护等级越低,当前环境安全度越低监控模式防护等级越高;所述模式选择单元可选的监控模式包括至少两个监控模式,监控模式的防护等级越高占用的计算机系统资源越多,监控模式的防护等级越低占用的计算机系统资源越少;
防护处理单元,用于使用模式选择单元选择的监控模式对所述计算机系统进行文件实时防护;所述使用模式选择单元选择的监控模式对所述计算机系统进行文件实时防护包括:若模式选择单元选择的是防护等级低的监控模式,则使用规则过滤设定的部分事件、文件执行事件异步监测、文件写入事件按设定规则过滤拦截、对设定的需要拦截的事件进行文件扫描来对所述计算机系统进行文件实时防护。
6.根据权利要求5所述装置,其特征在于,
模式选择单元,还用于在所述防护处理单元进行文件实时防护的过程中,若监测到风险数据,则选择比当前监控模式防护等级高的监控模式。
7.根据权利要求5或6所述装置,其特征在于,
模式选择单元,还用于在所述防护处理单元在进行文件实时防护的过程中,若预定时间内未监测到风险数据,则选择比当前监控模式防护等级低的监控模式,然后对所述计算机系统进行文件实时防护。
8.根据权利要求5或6所述装置,其特征在于,防护处理单元,具体用于若模式选择单元选择的是防护等级高的监控模式,则使用规则过滤设定的部分事件、文件执行事件同步监测、文件写入事件全面拦截、对拦截的事件进行文件扫描来对所述计算机系统进行文件实时防护。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310096441.1A CN103150518B (zh) | 2013-03-22 | 2013-03-22 | 一种文件实时防护的方法和装置 |
| TW102148552A TWI510957B (zh) | 2013-03-22 | 2013-12-26 | 一種文件檔案即時防護的方法以及裝置 |
| PCT/CN2014/070057 WO2014146499A1 (zh) | 2013-03-22 | 2014-01-03 | 一种文件实时防护的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310096441.1A CN103150518B (zh) | 2013-03-22 | 2013-03-22 | 一种文件实时防护的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103150518A CN103150518A (zh) | 2013-06-12 |
| CN103150518B true CN103150518B (zh) | 2016-02-17 |
Family
ID=48548590
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310096441.1A Active CN103150518B (zh) | 2013-03-22 | 2013-03-22 | 一种文件实时防护的方法和装置 |
Country Status (3)
| Country | Link |
|---|---|
| CN (1) | CN103150518B (zh) |
| TW (1) | TWI510957B (zh) |
| WO (1) | WO2014146499A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103150518B (zh) * | 2013-03-22 | 2016-02-17 | 腾讯科技(深圳)有限公司 | 一种文件实时防护的方法和装置 |
| US20190141059A1 (en) * | 2016-06-23 | 2019-05-09 | Mitsubishi Electric Corporation | Intrusion detection apparatus and computer readable medium |
| CN108073811A (zh) * | 2016-11-16 | 2018-05-25 | 蓝盾信息安全技术有限公司 | 一种基于多模匹配实现网闸系统智能文件扫描技术 |
| CN107911375A (zh) * | 2017-11-28 | 2018-04-13 | 四川长虹电器股份有限公司 | 基于流量监测的业务系统安全防护方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101576947A (zh) * | 2009-06-05 | 2009-11-11 | 成都市华为赛门铁克科技有限公司 | 文件防护处理方法、装置及系统 |
| CN102194073A (zh) * | 2011-06-03 | 2011-09-21 | 奇智软件(北京)有限公司 | 一种杀毒软件的扫描方法及装置 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004005008A (ja) * | 2002-04-04 | 2004-01-08 | Scinet Corp | 電子著作物配布時における著作内容の保護方法 |
| US7540027B2 (en) * | 2005-06-23 | 2009-05-26 | International Business Machines Corporation | Method/system to speed up antivirus scans using a journal file system |
| TW201018140A (en) * | 2008-10-16 | 2010-05-01 | Chunghwa Telecom Co Ltd | System and method for protecting data of network user |
| CN102262716B (zh) * | 2010-05-25 | 2014-03-05 | 腾讯科技(深圳)有限公司 | 一种实时防护方法和装置 |
| RU2449348C1 (ru) * | 2010-11-01 | 2012-04-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ для антивирусной проверки на стороне сервера скачиваемых из сети данных |
| CN102012992B (zh) * | 2010-11-19 | 2012-11-21 | 奇智软件(北京)有限公司 | 一种实时防护文件的监控方法及装置 |
| CN103150518B (zh) * | 2013-03-22 | 2016-02-17 | 腾讯科技(深圳)有限公司 | 一种文件实时防护的方法和装置 |
-
2013
- 2013-03-22 CN CN201310096441.1A patent/CN103150518B/zh active Active
- 2013-12-26 TW TW102148552A patent/TWI510957B/zh active
-
2014
- 2014-01-03 WO PCT/CN2014/070057 patent/WO2014146499A1/zh active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101576947A (zh) * | 2009-06-05 | 2009-11-11 | 成都市华为赛门铁克科技有限公司 | 文件防护处理方法、装置及系统 |
| CN102194073A (zh) * | 2011-06-03 | 2011-09-21 | 奇智软件(北京)有限公司 | 一种杀毒软件的扫描方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2014146499A1 (zh) | 2014-09-25 |
| TWI510957B (zh) | 2015-12-01 |
| TW201437837A (zh) | 2014-10-01 |
| CN103150518A (zh) | 2013-06-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103500002B (zh) | 应用程序管理的方法、装置及终端设备 | |
| CN104383681B (zh) | 游戏进程控制方法、装置和移动终端 | |
| CN103399633B (zh) | 一种无线遥控方法及移动终端 | |
| CN105808060A (zh) | 一种播放动画的方法和装置 | |
| CN104915091A (zh) | 一种显示状态栏提示信息的方法和装置 | |
| CN103310004A (zh) | 未读消息数目显示方法、装置和设备 | |
| CN103488939A (zh) | 一种提示用户的方法、装置及终端 | |
| CN106528282A (zh) | 一种关闭进程的方法、装置以及终端 | |
| CN106850983A (zh) | 一种熄屏控制方法、装置和终端 | |
| CN104216726A (zh) | Android虚拟机加载方法及装置 | |
| CN104850406A (zh) | 一种切换页面的方法和装置 | |
| CN104238893A (zh) | 一种对视频预览图片进行显示的方法和装置 | |
| CN103368828B (zh) | 一种消息暂存方法及系统 | |
| CN103150518B (zh) | 一种文件实时防护的方法和装置 | |
| CN104869465A (zh) | 视频播放控制方法和装置 | |
| CN104571979A (zh) | 一种实现分屏视图的方法和装置 | |
| CN104123276A (zh) | 一种浏览器中弹窗的拦截方法、装置和系统 | |
| CN106658623A (zh) | 一种热点网络切换方法及终端设备 | |
| CN104602135A (zh) | 控制全屏播放的方法及装置 | |
| CN105094501A (zh) | 一种移动终端中消息的显示方法、装置和系统 | |
| CN104991699A (zh) | 一种视频显示控制的方法和装置 | |
| CN105739856A (zh) | 一种执行对象操作处理的方法和装置 | |
| CN103533139B (zh) | 多卡用户的数据管理方法、装置及移动终端 | |
| CN105807908A (zh) | 一种切换工作模式的方法和装置 | |
| CN105279433A (zh) | 一种应用程序的防护方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |