CN104598818A - 一种用于虚拟化环境中的文件检测系统及方法 - Google Patents

一种用于虚拟化环境中的文件检测系统及方法 Download PDF

Info

Publication number
CN104598818A
CN104598818A CN201410850353.0A CN201410850353A CN104598818A CN 104598818 A CN104598818 A CN 104598818A CN 201410850353 A CN201410850353 A CN 201410850353A CN 104598818 A CN104598818 A CN 104598818A
Authority
CN
China
Prior art keywords
file
agent client
light agent
virtual machine
killing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201410850353.0A
Other languages
English (en)
Inventor
汪圣平
杨晓东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Qianxin Technology Co Ltd
Original Assignee
Beijing Qihoo Technology Co Ltd
Qizhi Software Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Qihoo Technology Co Ltd, Qizhi Software Beijing Co Ltd filed Critical Beijing Qihoo Technology Co Ltd
Priority to CN201410850353.0A priority Critical patent/CN104598818A/zh
Publication of CN104598818A publication Critical patent/CN104598818A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Investigating Or Analysing Materials By Optical Means (AREA)

Abstract

本发明涉及一种用于虚拟化环境中的文件检测系统和方法,其中,该方法包括:轻代理客户端向扫描服务器发送待查杀文件的前预定数量字节的文件数据,所述轻代理客户端设置于虚拟机中;扫描服务器根据所述前预定数量字节的文件数据确定待查杀文件的文件类型,并根据所述文件类型指示所述轻代理客户端提取文件数据中的特定片段;轻代理客户端根据所述指示提取并向扫描服务器发送所述文件数据中的特定片段;扫描服务器接收所述特定片段并对所述特定片段进行查杀,将所述查杀结果反馈给所述轻代理客户端。本发明的技术方案能够快速、高效地实现虚拟化环境中的文件检测,提高了安全检测的效率,降低了物理机的资源占用率。

Description

一种用于虚拟化环境中的文件检测系统及方法
技术领域
本发明涉及计算机安全技术领域,具体而言,涉及一种用于虚拟化环境中的文件检测系统和一种用于虚拟化环境中的文件检测方法。
背景技术
虚拟化,是指通过虚拟化技术将一台计算机虚拟为多台逻辑计算机。在一台计算机上同时运行多个逻辑计算机,每个逻辑计算机可运行不同的操作系统,并且应用程序都可以在相互独立的空间内运行而互不影响,从而显著提高计算机的工作效率。
现有虚拟化环境中的文件检测方案中,若同一台物理机上存在多台虚拟的逻辑计算机(虚拟机),对多台虚拟机中的信息进行安全检测时,对于小文件大多是通过本地的扫描引擎进行文件的安全性检测,而对于较大的文件则通过设置在每台虚拟机中的查杀服务器,将每台虚拟机中的文件在各自的查杀服务器中进行安全检测,无论是本地扫描引擎对小文件的安全检测还是每台虚拟机中的查杀服务器对大文件的安全检测均需要对整个文件进行整体扫描,文件越大扫描时间越长,导致文件检测过程需要花费大量时间,影响安全检测的效率,如果多台虚拟机同时进行文件安全检测,势必增加了多台虚拟机所在的物理机的资源占用影响,进而影响计算机的整个虚拟化环境的系统性能和工作效率。
如何提供一种用于虚拟化环境中的文件检测方法,能够快速、准确地实现虚拟化环境中的文件检测,成为目前急需解决的问题之一。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决或者减缓上述问题的用于虚拟环境中的文件检测系统和相应的用于虚拟环境中的文件检测方法。
根据本发明的一个方面,提供了一种用于虚拟环境中的文件检测系统,包括扫描服务器和置于虚拟机中的轻代理客户端,其中所述轻代理客户端,向所述扫描服务器发送待查杀文件的前预定数量字节的文件数据;所述扫描服务器根据所述前预定数量字节的文件数据判断待查杀文件的文件类型,并根据所述文件类型指示所述轻代理客户端提取文件数据中的特定片段;
所述轻代理客户端根据所述指示提取并向扫描服务器发送所述文件数据中的特定片段;所述扫描服务器接收所述特定片段并对所述特定片段进行查杀,并将所述查收结果反馈给所述轻代理客户端。
优选地,所述轻代理客户端向扫描服务器发送文件扫描请求;所述扫描服务器根据所述文件扫描请求向所述轻代理客户端发送传送前预定数量字节的文件数据的指令。
优选地,所述待查杀文件的前预定数量字节的文件数据以文件类型判断标记进行标识。
优选地,扫描服务器进一步包括:
特征值获取单元,用于获取所述特定片段的特征值;
查杀引擎,用于扫描所述特征值并对所述特征值进行安全检测。
优选地,所述轻代理客户端从所述轻代理客户端所在的物理机中的至少一台虚拟机获取文件扫描请求,其中,所述物理机中设置有多台虚拟机;
和/或,
所述轻代理客户端从与所述轻代理客户端所在的物理机位于同一集群的至少一台物理机的至少一台虚拟机中获取文件扫描请求,其中,所述集群包括至少一台物理机,每台所述物理机包括至少一台虚拟机。
优选地,所述轻代理客户端从所述轻代理客户端所在的物理机中的至少一台虚拟机获取所述特定片段,其中,所述物理机中设置有多台虚拟机;
和/或,
所述轻代理客户端从与所述轻代理客户端所在的物理机位于同一集群的至少一台物理机的至少一台虚拟机中获取所述特定片段,其中,所述集群包括至少一台物理机,每台所述物理机包括至少一台虚拟机。
根据本发明的另一个方面,提供了一种用于虚拟化环境中的文件检测方法,该方法包括:
轻代理客户端向扫描服务器发送待查杀文件的前预定数量字节的文件数据,所述轻代理客户端设置于虚拟机中;
扫描服务器根据所述前预定数量字节的文件数据确定待查杀文件的文件类型,并根据所述文件类型指示所述轻代理客户端提取文件数据中的特定片段;
轻代理客户端根据所述指示提取并向扫描服务器发送所述文件数据中的特定片段;
扫描服务器接收所述特定片段并对所述特定片段进行查杀,将所述查杀结果反馈给所述轻代理客户端。
优选地,该方法在步骤:轻代理客户端向扫描服务器发送待查杀文件的前预定数量字节的文件数据之前,还包括:
轻代理客户端向扫描服务器发送文件扫描请求;
扫描服务器根据所述文件扫描请求向所述轻代理客户端发送传送前预定数量字节的文件数据的指令。
优选地,所述待查杀文件的前预定数量字节的文件数据以文件类型判断标记进行标识。
优选地,扫描服务器根据所述特定片段对文件进行查杀,进一步包括:
所述扫描服务器获取所述特定片段的特征值;
所述扫描服务器通过查杀引擎扫描所述特征值并对所述特征值进行安全检测。
优选地,该方法在步骤:轻代理客户端向扫描服务器发送文件扫描请求之前,还包括:所述轻代理客户端从所述轻代理客户端所在的物理机中的至少一台虚拟机获取文件扫描请求,其中,所述物理机中设置有多台虚拟机;
和/或,
所述轻代理客户端从与所述轻代理客户端所在的物理机位于同一集群的至少一台物理机的至少一台虚拟机中获取文件扫描请求,其中,所述集群包括至少一台物理机,每台所述物理机包括至少一台虚拟机。
优选地,该方法在步骤:轻代理客户端根据所述指示向扫描服务器发送所述文件数据中的特定片段之前,还包括:
所述轻代理客户端从所述轻代理客户端所在的物理机中的至少一台虚拟机获取所述特定片段,其中,所述物理机中设置有多台虚拟机;
和/或,
所述轻代理客户端从与所述轻代理客户端所在的物理机位于同一集群的至少一台物理机的至少一台虚拟机中获取所述特定片段,其中,所述集群包括至少一台物理机,每台所述物理机包括至少一台虚拟机。
本发明的有益效果为:
本发明通过扫描服务器根据轻代理客户端发送的待查杀文件的前预定数量字节的文件数据判断待查杀文件的文件类型,根据所述文件类型指示所述轻代理客户端提取文件数据中的特定片段,仅对轻代理客户端发送的所述文件数据中的特定片段进行查杀,减少对整个文件进行整体扫描查杀过程需要花费的大量时间,快速、高效地实现虚拟化环境中的文件检测,提高了安全检测的效率,降低了物理机的资源占用率。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示意性示出了本发明一个实施例的用于虚拟化环境中的文件检测系统的框图;
图2示意性示出了本发明另一个实施例的用于虚拟化环境中的文件检测系统的框图;
图3示意性示出了本发明一个实施例的用于虚拟化环境中的文件检测方法的流程图;以及
图4示意性示出了本发明另一个实施例的用于虚拟化环境中的文件检测方法的流程图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。
图1示出了本发明一个实施例的用于虚拟化环境中的文件检测系统的框图。
参照图1,本发明实施例的用于虚拟化环境中的文件检测系统,包括扫描服务器11和置于虚拟机中的轻代理客户端12,其中所述轻代理客户端12,向所述扫描服务器11发送待查杀文件的前预定数量字节的文件数据;所述扫描服务器11根据所述前预定数量字节的文件数据判断待查杀文件的文件类型,并根据所述文件类型指示所述轻代理客户端12提取文件数据中的特定片段;
所述轻代理客户端12根据所述指示提取并向扫描服务器11发送所述文件数据中的特定片段;所述扫描服务器11接收所述特定片段并对所述特定片段进行查杀,并将所述查收结果反馈给所述轻代理客户端12。
其中,扫描服务器可以设置于物理机或虚拟机中。例如,所述轻代理客户端可以设置于多台虚拟机中的一台虚拟机中,所述扫描服务器可以仅设置于一台物理机中,或者,也可以设置于一台虚拟机中,可选地,所述轻代理客户端和所述扫描服务器可以设置于多台虚拟机中的同一台虚拟机中,而其它虚拟机中则无需设置。
本发明实施例中,所述待查杀文件可以来源于同一台虚拟机中,也可以来源于多台虚拟机中,也就是说,通过在一台虚拟机中的轻代理客户端可以获取其他虚拟机中的待查杀文件。
本发明实施例中,采用轻代理客户端向扫描服务器发送待查杀文件的前2k或5k字节的文件数据,扫描服务器根据所述前2k或5k字节的文件数据判断待查杀文件的文件类型,所述文件类型除了可以是文本文件外,还可以包括但不限于PDE文件、DAT文件、ESP文件以及GIT文件等,不同文件类型的文件数据中易携带病毒的数据片段不同,但是相同文件类型的文件数据易携带病毒的数据片段是规则的,在通过前预定数量字节,如2k或5k字节的文件数据判断后,得到待查杀文件的文件类型,进而根据文件类型指示轻代理客户端提取待查杀文件的文件数据中常见的易携带病毒的特定片段,轻代理客户端根据所述指示提取并向扫描服务器发送所述文件数据中的特定片段;扫描服务器接收所述特定片段并对所述易携带病毒的特定片段进行查杀,并将所述查收结果反馈给所述轻代理客户端,减少对整个文件进行整体扫描查杀过程需要花费的大量时间,快速、高效地实现虚拟化环境中的文件检测。
优选地,所述预定数量字节的文件数据可以选择待查杀文件的前2k-5k字节的文件数据,也可以根据安全监测的准确率以及效率要求进行设置,本发明实施例对预定数量字节的文件数据的具体字节数量不作限制,但通过具体文件数据的分析,选用前4k字节能够极大的同时兼顾病毒检出保障率以及文件扫描效率。
优选地,待查杀文件的文件类型可以包括文本文件、PDE文件、DAT文件、ESP文件以及GIT文件中的至少一种,本发明实施例待查杀文件的文件类型不作具体限制。
进一步地,本发明实施例的用于虚拟化环境中的文件检测系统中,所述轻代理客户端向扫描服务器发送文件扫描请求;所述扫描服务器根据所述文件扫描请求向所述轻代理客户端发送传送前预定数量字节的文件数据的指令。
本发明实施例中,布置于虚拟机上的轻代理客户端检测到虚拟化环境中存在需要进行安全监测的文件时,首先判断需要进行安全监测的文件的大小,如果是小于预定阈值的小文件,则通过本地的扫描引擎进行文件的安全性检测,如果是需要进行通过扫描服务器进行扫描查杀的大文件,则向扫描服务器发送文件扫描请求;所述扫描服务器根据所述文件扫描请求向所述轻代理客户端发送传送前预定数量字节的文件数据的指令。
进一步地,本发明实施例的用于虚拟化环境中的文件检测系统中,所述待查杀文件的前预定数量字节的文件数据以文件类型判断标记进行标识。
本发明实施例中,为了使得扫描服务器能够快速、准确地根据轻代理客户端发送的待查杀文件的前预定数量字节的文件数据识别出所述待查杀文件的文件类型,轻代理客户端在发送待查杀文件的前预定数量字节的文件数据时,以文件类型判断标记对待查杀文件进行标识,扫描服务器根据所述文件类型判断标记进行待查杀文件的文件类型判断。
本发明实施例提供的用于虚拟化环境中的文件检测系统,通过扫描服务器根据虚拟机中的轻代理客户端发送的待查杀文件的前预定数量字节的文件数据判断待查杀文件的文件类型,根据所述文件类型指示所述轻代理客户端提取文件数据中的特定片段,仅对轻代理客户端发送的所述文件数据中的特定片段进行查杀,减少对整个文件进行整体扫描查杀过程需要花费的大量时间,快速、高效地实现虚拟化环境中的文件检测,提高了安全检测的效率,降低了物理机的资源占用率。
在针对不同文件类型,提取不同的文件片段时,一种具体实施方式是在轻代理客户端设置偏移提取器,所述偏移提取器根据扫描服务器所指示的提取特定片段(依据文件类型确定)的指令,根据文件大小自适应地设定偏移量以及提取长度,从待查杀文件提取的所述特定片段数据。通过这样的实施方式,能够简化对文件的识别和处理过程,提高获取所述特定片段的文件数据的效率以及准确率。
为了进一步体现发明的优越性,如下进一步揭示本发明用于虚拟化环境中的文件检测系统的另一实施例。
参照图2,本发明实施例提出的用于虚拟化环境中的文件检测系统,包括扫描服务器21和置于虚拟机中的轻代理客户端22,其中所述轻代理客户端22,向所述扫描服务器21发送待查杀文件的前预定数量字节的文件数据;所述扫描服务器21根据所述前预定数量字节的文件数据判断待查杀文件的文件类型,并根据所述文件类型指示所述轻代理客户端22提取文件数据中的特定片段;
所述轻代理客户端22根据所述指示提取并向扫描服务器21发送所述文件数据中的特定片段;所述扫描服务器21接收所述特定片段并对所述特定片段进行查杀,并将所述查收结果反馈给所述轻代理客户端22。
本发明实施例中,扫描服务器可以设置于物理机或虚拟机中。例如,所述轻代理客户端可以设置于多台虚拟机中的一台虚拟机中,所述扫描服务器可以仅设置于一台物理机中,或者,也可以设置于一台虚拟机中,可选地,所述轻代理客户端和所述扫描服务器可以设置于多台虚拟机中的同一台虚拟机中,而其它虚拟机中则无需设置。
其中,扫描服务器21进一步包括特征值获取单元211以及查杀引擎212:
所述的特征值获取单元211,用于获取所述特定片段的特征值;
所述的查杀引擎212,用于扫描所述特征值并对所述特征值进行安全检测。
本发明实施例中,扫描服务器接收到待查杀文件的文件数据中的特定片段后,获取所述特定片段的特征值,通过查杀引擎扫描所述特征值并对所述特征值进行安全检测,进而得到查杀结果,并将所述查杀结果反馈给所述轻代理客户端。其中,不同类型的待查杀文件的特定片段的特征值为该类型的待查杀文件的常见的病毒携带数据。
进一步地,本发明实施例的用于虚拟化环境中的文件检测系统中,所述轻代理客户端向扫描服务器发送文件扫描请求;所述扫描服务器根据所述文件扫描请求向所述轻代理客户端发送传送前预定数量字节的文件数据的指令。
本发明实施例中,布置于虚拟机上的轻代理客户端检测到虚拟化环境中存在需要进行安全监测的文件时,首先判断需要进行安全监测的文件的大小,如果是小于预定阈值的小文件,则通过本地的扫描引擎进行文件的安全性检测,如果是需要进行通过扫描服务器进行扫描查杀的大文件,则向扫描服务器发送文件扫描请求;所述扫描服务器根据所述文件扫描请求向所述轻代理客户端发送传送前预定数量字节的文件数据的指令。
进一步地,本发明实施例的用于虚拟化环境中的文件检测系统中,所述待查杀文件的前预定数量字节的文件数据以文件类型判断标记进行标识。
本发明实施例中,为了使得扫描服务器能够快速、准确地根据轻代理客户端发送的待查杀文件的前预定数量字节的文件数据识别出所述待查杀文件的文件类型,轻代理客户端在发送待查杀文件的前预定数量字节的文件数据时,以文件类型判断标记对待查杀文件进行标识,扫描服务器根据所述文件类型判断标记进行待查杀文件的文件类型判断。
本发明实施例中,所述文件扫描请求可以来源于同一台虚拟机中,也可以来源于多台虚拟机中,也就是说,通过在一台虚拟机中的轻代理客户端可以获取其他虚拟机中的文件扫描请求。
优选地,根据文件扫描请求的不同来源,所述轻代理客户端22获取文件扫描请求的过程可以为:
1)进一步地,本发明实施例的用于虚拟化环境中的文件检测系统中,所述轻代理客户端22从所述轻代理客户端所在的物理机中的至少一台虚拟机获取文件扫描请求,其中,所述物理机中设置有多台虚拟机。
例如,轻代理客户端Q1所在的物理机W1中包括虚拟机X1和X2,则轻代理客户端Q1可以从虚拟机X1和X2中获取所述文件扫描请求,既可以单独从虚拟机X1中获取所述文件扫描请求,又可以单独从虚拟机X2中获取所述文件扫描请求。
和/或,
2)所述轻代理客户端22从与所述轻代理客户端所在的物理机位于同一集群的至少一台物理机的至少一台虚拟机中获取文件扫描请求,其中,所述集群包括至少一台物理机,每台所述物理机包括至少一台虚拟机。
例如,轻代理客户端Q1所在的物理机W1位于集群J1中,集群J1还包括物理机W2,物理机W1包括虚拟机X1和X2,物理机W2包括虚拟机X3和X4,则轻代理客户端Q1可以从虚拟机X1、X2、X3和X4中获取所述文件扫描请求,既可以单独从虚拟机X1中获取所述文件扫描请求,又可以单独从虚拟机X2中获取所述文件扫描请求,还可以单独从虚拟机X3中获取所述文件扫描请求,同时,也可以单独从虚拟机X4中获取所述文件扫描请求。
所述轻代理客户端22获取所述文件扫描请求可以单独选择上述1)中的方式,还可以单独选择上述2)中的方式,也可以同时选择上述1)和2)中的方式。
本发明实施例中,所述待查杀文件可以来源于同一台虚拟机中,也可以来源于多台虚拟机中,也就是说,通过在一台虚拟机中的轻代理客户端可以获取其他虚拟机中的待查杀文件。
优选地,根据待查杀文件的文件数据中的特定片段的不同来源,所述轻代理客户端21获取文件数据中的特定片段的过程可以为:
1)所述轻代理客户端22从所述轻代理客户端所在的物理机中的至少一台虚拟机获取所述特定片段,其中,所述物理机中设置有多台虚拟机。
例如,轻代理客户端Q1所在的物理机W1中包括虚拟机X1和X2,则轻代理客户端Q1可以从虚拟机X1和X2中获取所述特定片段,既可以单独从虚拟机X1中获取所述特定片段,又可以单独从虚拟机X2中获取所述特定片段。
和/或,
2)所述轻代理客户端22从与所述轻代理客户端所在的物理机位于同一集群的至少一台物理机的至少一台虚拟机中获取所述特定片段,其中,所述集群包括至少一台物理机,每台所述物理机包括至少一台虚拟机。
例如,轻代理客户端Q1所在的物理机W1位于集群J1中,集群J1还包括物理机W2,物理机W1包括虚拟机X1和X2,物理机W2包括虚拟机X3和X4,则轻代理客户端Q1可以从虚拟机X1、X2、X3和X4中获取所述特定片段,既可以单独从虚拟机X1中获取所述特定片段,又可以单独从虚拟机X2中获取所述特定片段,还可以单独从虚拟机X3中获取所述特定片段,同时,也可以单独从虚拟机X4中获取所述特定片段。
所述轻代理客户端获取所述特定片段可以单独选择上述1)中的方式,还可以单独选择上述2)中的方式,也可以同时选择上述1)和2)中的方式。
本发明实施例提供的用于虚拟化环境中的文件检测系统,通过扫描服务器根据虚拟机中的轻代理客户端发送的待查杀文件的前预定数量字节的文件数据判断待查杀文件的文件类型,根据所述文件类型指示所述轻代理客户端提取文件数据中的特定片段,获取所述特定片段的特征值,通过扫描所述特征值并对所述特征值进行安全检测,减少对整个文件进行整体扫描查杀过程需要花费的大量时间,快速、高效地实现虚拟化环境中的文件检测,提高了安全检测的效率,降低了物理机的资源占用率。
图3示出了本发明一个实施例的用于虚拟化环境中的文件检测方法的流程图。
本发明实施例中的用于虚拟化环境中的文件检测方法可以应用于包括轻代理客户端和扫描服务器在内的系统中。
参照图3,本发明实施例的用于虚拟化环境中的文件检测方法包括以下步骤:
S11、轻代理客户端向扫描服务器发送待查杀文件的前预定数量字节的文件数据;
其中,所述轻代理客户端可以设置于虚拟机中,所述扫描服务器可以设置于虚拟机或物理机中。例如,所述轻代理客户端可以设置于多台虚拟机中的一台虚拟机中,所述扫描服务器可以仅设置于一台物理机中,或者,也可以设置于一台虚拟机中,可选地,所述轻代理客户端和所述扫描服务器可以设置于多台虚拟机中的同一台虚拟机中,而其它虚拟机中则无需设置。
本发明实施例中,所述待查杀文件可以来源于同一台虚拟机中,也可以来源于多台虚拟机中,也就是说,通过在一台虚拟机中的轻代理客户端可以获取其他虚拟机中的待查杀文件。
S12、扫描服务器根据所述前预定数量字节的文件数据确定待查杀文件的文件类型,并根据所述文件类型指示所述轻代理客户端提取文件数据中的特定片段;
S13、轻代理客户端根据所述指示提取并向扫描服务器发送所述文件数据中的特定片段;
S14、扫描服务器接收所述特定片段并对所述特定片段进行查杀,将所述查杀结果反馈给所述轻代理客户端。
本发明实施例中,采用轻代理客户端向扫描服务器发送待查杀文件的前2k或5k字节的文件数据,扫描服务器根据所述前2k或5k字节的文件数据判断待查杀文件的文件类型,所述文件类型除了可以是文本文件外,还可以包括但不限于PDE文件、DAT文件、ESP文件以及GIT文件等,不同文件类型的文件数据中易携带病毒的数据片段不同,但是相同文件类型的文件数据易携带病毒的数据片段是规则的,在通过前预定数量字节,如2k或5k字节,的文件数据判断后,得到待查杀文件的文件类型,进而根据文件类型指示轻代理客户端提取待查杀文件的文件数据中常见的易携带病毒的特定片段,轻代理客户端根据所述指示提取并向扫描服务器发送所述文件数据中的特定片段;扫描服务器接收所述特定片段并对所述易携带病毒的特定片段进行查杀,并将所述查收结果反馈给所述轻代理客户端,减少对整个文件进行整体扫描查杀过程需要花费的大量时间,快速、高效地实现虚拟化环境中的文件检测。
进一步地,所述预定数量字节的文件数据可以选择待查杀文件的前2k-5k字节的文件数据,也可以根据安全监测的准确率以及效率要求进行设置,本发明实施例对预定数量字节的文件数据的具体字节数量不作限制。
进一步地,待查杀文件的文件类型可以包括文本文件、PDE文件、DAT文件、ESP文件以及GIT文件中的至少一种,本发明实施例待查杀文件的文件类型不作具体限制。
进一步地,本发明实施例的用于虚拟化环境中的文件检测方法在步骤:轻代理客户端向扫描服务器发送待查杀文件的前预定数量字节的文件数据之前,还包括:
轻代理客户端向扫描服务器发送文件扫描请求;
扫描服务器根据所述文件扫描请求向所述轻代理客户端发送传送前预定数量字节的文件数据的指令。
本发明实施例中,布置于虚拟机上的轻代理客户端检测到虚拟化环境中存在需要进行安全监测的文件时,首先判断需要进行安全监测的文件的大小,如果是小于预定阈值的小文件,则通过本地的扫描引擎进行文件的安全性检测,如果是需要进行通过扫描服务器进行扫描查杀的大文件,则向扫描服务器发送文件扫描请求;所述扫描服务器根据所述文件扫描请求向所述轻代理客户端发送传送前预定数量字节的文件数据的指令。
进一步地,本发明实施例的用于虚拟化环境中的文件检测方法中,所述待查杀文件的前预定数量字节的文件数据以文件类型判断标记进行标识。
本发明实施例中,为了使得扫描服务器能够快速、准确地根据轻代理客户端发送的待查杀文件的前预定数量字节的文件数据识别出所述待查杀文件的文件类型,轻代理客户端在发送待查杀文件的前预定数量字节的文件数据时,以文件类型判断标记对待查杀文件进行标识,扫描服务器根据所述文件类型判断标记进行待查杀文件的文件类型判断。
本发明实施例提供的用于虚拟化环境中的文件检测方法,通过扫描服务器根据虚拟机中的轻代理客户端发送的待查杀文件的前预定数量字节的文件数据判断待查杀文件的文件类型,根据所述文件类型指示所述轻代理客户端提取文件数据中的特定片段,仅对轻代理客户端发送的所述文件数据中的特定片段进行查杀,减少对整个文件进行整体扫描查杀过程需要花费的大量时间,快速、高效地实现虚拟化环境中的文件检测,提高了安全检测的效率,降低了物理机的资源占用率。
为了进一步体现发明的优越性,如下进一步揭示本发明用于虚拟化环境中的文件检测方法的另一实施例。
参照图4,本发明另一实施例提出的用于虚拟化环境中的文件检测方法,具体包括:
S21、轻代理客户端向扫描服务器发送待查杀文件的前预定数量字节的文件数据;
其中,所述轻代理客户端可以设置于虚拟机中,所述扫描服务器可以设置于虚拟机或物理机中。例如,所述轻代理客户端可以设置于多台虚拟机中的一台虚拟机中,所述扫描服务器可以仅设置于一台物理机中,或者,也可以设置于一台虚拟机中,可选地,所述轻代理客户端和所述扫描服务器可以设置于多台虚拟机中的同一台虚拟机中,而其它虚拟机中则无需设置。
S22、扫描服务器根据所述前预定数量字节的文件数据确定待查杀文件的文件类型,并根据所述文件类型指示所述轻代理客户端提取文件数据中的特定片段;
S23、轻代理客户端根据所述指示提取并向扫描服务器发送所述文件数据中的特定片段;
S24、扫描服务器接收所述特定片段并对所述特定片段进行查杀,将所述查杀结果反馈给所述轻代理客户端。本步骤的细分步骤进一步包括:
其中,步骤:扫描服务器接收所述特定片段并对所述特定片段进行查杀,具体包括:
S241、所述扫描服务器获取所述特定片段的特征值;
S242、所述扫描服务器通过查杀引擎扫描所述特征值并对所述特征值进行安全检测,进而得到查杀结果;
S243、将所述查杀结果反馈给所述轻代理客户端。
本发明实施例中,扫描服务器接收到待查杀文件的文件数据中的特定片段后,获取所述特定片段的特征值,通过查杀引擎扫描所述特征值并对所述特征值进行安全检测,进而得到查杀结果,并将所述查杀结果反馈给所述轻代理客户端。其中,不同类型的待查杀文件的特定片段的特征值为该类型的待查杀文件的常见的病毒携带数据。
进一步地,本发明实施例的用于虚拟化环境中的文件检测方法在步骤:轻代理客户端向扫描服务器发送待查杀文件的前预定数量字节的文件数据之前,还包括:
轻代理客户端向扫描服务器发送文件扫描请求;
扫描服务器根据所述文件扫描请求向所述轻代理客户端发送传送前预定数量字节的文件数据的指令。
本发明实施例中,布置于虚拟机上的轻代理客户端检测到虚拟化环境中存在需要进行安全监测的文件时,首先判断需要进行安全监测的文件的大小,如果是小于预定阈值的小文件,则通过本地的扫描引擎进行文件的安全性检测,如果是需要进行通过扫描服务器进行扫描查杀的大文件,则向扫描服务器发送文件扫描请求;所述扫描服务器根据所述文件扫描请求向所述轻代理客户端发送传送前预定数量字节的文件数据的指令。
进一步地,本发明实施例的用于虚拟化环境中的文件检测方法中,所述待查杀文件的前预定数量字节的文件数据以文件类型判断标记进行标识。
本发明实施例中,为了使得扫描服务器能够快速、准确地根据轻代理客户端发送的待查杀文件的前预定数量字节的文件数据识别出所述待查杀文件的文件类型,轻代理客户端在发送待查杀文件的前预定数量字节的文件数据时,以文件类型判断标记对待查杀文件进行标识,扫描服务器根据所述文件类型判断标记进行待查杀文件的文件类型判断。
本发明实施例中,所述文件扫描请求可以来源于同一台虚拟机中,也可以来源于多台虚拟机中,也就是说,通过在一台虚拟机中的轻代理客户端可以获取其他虚拟机中的文件扫描请求。
优选地,根据文件扫描请求的不同来源,所述轻代理客户端获取文件扫描请求的过程可以为:
1)进一步地,本发明实施例的用于虚拟化环境中的文件检测系统中,所述轻代理客户端从所述轻代理客户端所在的物理机中的至少一台虚拟机获取文件扫描请求,其中,所述物理机中设置有多台虚拟机。
例如,轻代理客户端Q1所在的物理机W1中包括虚拟机X1和X2,则轻代理客户端Q1可以从虚拟机X1和X2中获取所述文件扫描请求,既可以单独从虚拟机X1中获取所述文件扫描请求,又可以单独从虚拟机X2中获取所述文件扫描请求。
和/或,
2)所述轻代理客户端从与所述轻代理客户端所在的物理机位于同一集群的至少一台物理机的至少一台虚拟机中获取文件扫描请求,其中,所述集群包括至少一台物理机,每台所述物理机包括至少一台虚拟机。
例如,轻代理客户端Q1所在的物理机W1位于集群J1中,集群J1还包括物理机W2,物理机W1包括虚拟机X1和X2,物理机W2包括虚拟机X3和X4,则轻代理客户端Q1可以从虚拟机X1、X2、X3和X4中获取所述文件扫描请求,既可以单独从虚拟机X1中获取所述文件扫描请求,又可以单独从虚拟机X2中获取所述文件扫描请求,还可以单独从虚拟机X3中获取所述文件扫描请求,同时,也可以单独从虚拟机X4中获取所述文件扫描请求。
所述轻代理客户端获取所述文件扫描请求可以单独选择上述1)中的方式,还可以单独选择上述2)中的方式,也可以同时选择上述1)和2)中的方式。
本发明实施例中,所述待查杀文件可以来源于同一台虚拟机中,也可以来源于多台虚拟机中,也就是说,通过在一台虚拟机中的轻代理客户端可以获取其他虚拟机中的待查杀文件。
优选地,根据待查杀文件的文件数据中的特定片段的不同来源,所述轻代理客户端获取文件数据中的特定片段的过程可以为:
1)所述轻代理客户端从所述轻代理客户端所在的物理机中的至少一台虚拟机获取所述特定片段,其中,所述物理机中设置有多台虚拟机。
例如,轻代理客户端Q1所在的物理机W1中包括虚拟机X1和X2,则轻代理客户端Q1可以从虚拟机X1和X2中获取所述特定片段,既可以单独从虚拟机X1中获取所述特定片段,又可以单独从虚拟机X2中获取所述特定片段。
和/或,
2)所述轻代理客户端从与所述轻代理客户端所在的物理机位于同一集群的至少一台物理机的至少一台虚拟机中获取所述特定片段,其中,所述集群包括至少一台物理机,每台所述物理机包括至少一台虚拟机。
例如,轻代理客户端Q1所在的物理机W1位于集群J1中,集群J1还包括物理机W2,物理机W1包括虚拟机X1和X2,物理机W2包括虚拟机X3和X4,则轻代理客户端Q1可以从虚拟机X1、X2、X3和X4中获取所述特定片段,既可以单独从虚拟机X1中获取所述特定片段,又可以单独从虚拟机X2中获取所述特定片段,还可以单独从虚拟机X3中获取所述特定片段,同时,也可以单独从虚拟机X4中获取所述特定片段。
所述轻代理客户端获取所述特定片段可以单独选择上述1)中的方式,还可以单独选择上述2)中的方式,也可以同时选择上述1)和2)中的方式。
本发明实施例提供的用于虚拟化环境中的文件检测方法,通过扫描服务器根据虚拟机中的轻代理客户端发送的待查杀文件的前预定数量字节的文件数据判断待查杀文件的文件类型,根据所述文件类型指示所述轻代理客户端提取文件数据中的特定片段,获取所述特定片段的特征值,通过扫描所述特征值并对所述特征值进行安全检测,减少对整个文件进行整体扫描查杀过程需要花费的大量时间,快速、高效地实现虚拟化环境中的文件检测,提高了安全检测的效率,降低了物理机的资源占用率。
综上所述,本发明通过待查杀文件的前预定数量字节的文件数据判断待查杀文件的文件类型,根据文件类型指示轻代理客户端提取待查杀文件的文件数据中常见的易携带病毒的特定片段,仅对该特定片段进行查杀,进而减少文件安全性检测所花费的检测时间,提高虚拟化环境下安全检测的效率,而且将轻代理客户端和扫描服务器设置于多台虚拟机中的一台虚拟机内,只占用一台虚拟机中的系统资源,降低了物理机的资源占用率,进而改善计算机的整个虚拟化环境的系统性能和工作效率。
应当注意,在此提供的算法和公式不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示例一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明并帮助理解本发明各个方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法和装置解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如权利要求书所反映,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的网站安全检测设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
以上所述仅是本发明的部分实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (12)

1.一种用于虚拟环境中的文件检测系统,包括扫描服务器和置于虚拟机中的轻代理客户端,其中所述轻代理客户端,向所述扫描服务器发送待查杀文件的前预定数量字节的文件数据;所述扫描服务器根据所述前预定数量字节的文件数据判断待查杀文件的文件类型,并根据所述文件类型指示所述轻代理客户端提取文件数据中的特定片段;
所述轻代理客户端根据所述指示提取并向扫描服务器发送所述文件数据中的特定片段;所述扫描服务器接收所述特定片段并对所述特定片段进行查杀,并将所述查收结果反馈给所述轻代理客户端。
2.如权利要求1所述的系统,所述轻代理客户端向扫描服务器发送文件扫描请求;所述扫描服务器根据所述文件扫描请求向所述轻代理客户端发送传送前预定数量字节的文件数据的指令。
3.如权利要求1或2所述的系统,所述待查杀文件的前预定数量字节的文件数据以文件类型判断标记进行标识。
4.如权利要求1-3任一项所述的系统,扫描服务器进一步包括:
特征值获取单元,用于获取所述特定片段的特征值;
查杀引擎,用于扫描所述特征值并对所述特征值进行安全检测。
5.如权利要求1-4任一项所述的系统,所述轻代理客户端从所述轻代理客户端所在的物理机中的至少一台虚拟机获取文件扫描请求,其中,所述物理机中设置有多台虚拟机;
和/或,
所述轻代理客户端从与所述轻代理客户端所在的物理机位于同一集群的至少一台物理机的至少一台虚拟机中获取文件扫描请求,其中,所述集群包括至少一台物理机,每台所述物理机包括至少一台虚拟机。
6.如权利要求1-4任一项所述的系统,所述轻代理客户端从所述轻代理客户端所在的物理机中的至少一台虚拟机获取所述特定片段,其中,所述物理机中设置有多台虚拟机;
和/或,
所述轻代理客户端从与所述轻代理客户端所在的物理机位于同一集群的至少一台物理机的至少一台虚拟机中获取所述特定片段,其中,所述集群包括至少一台物理机,每台所述物理机包括至少一台虚拟机。
7.一种用于虚拟化环境中的文件检测方法,包括:
轻代理客户端向扫描服务器发送待查杀文件的前预定数量字节的文件数据,所述轻代理客户端设置于虚拟机中;
扫描服务器根据所述前预定数量字节的文件数据确定待查杀文件的文件类型,并根据所述文件类型指示所述轻代理客户端提取文件数据中的特定片段;
轻代理客户端根据所述指示提取并向扫描服务器发送所述文件数据中的特定片段;
扫描服务器接收所述特定片段并对所述特定片段进行查杀,将所述查杀结果反馈给所述轻代理客户端。
8.如权利要求7所述的方法,该方法在步骤:轻代理客户端向扫描服务器发送待查杀文件的前预定数量字节的文件数据之前,还包括:
轻代理客户端向扫描服务器发送文件扫描请求;
扫描服务器根据所述文件扫描请求向所述轻代理客户端发送传送前预定数量字节的文件数据的指令。
9.如权利要求7或8所述的方法,所述待查杀文件的前预定数量字节的文件数据以文件类型判断标记进行标识。
10.如权利要求7-9任一项所述的方法,扫描服务器根据所述特定片段对文件进行查杀,进一步包括:
所述扫描服务器获取所述特定片段的特征值;
所述扫描服务器通过查杀引擎扫描所述特征值并对所述特征值进行安全检测。
11.如权利要求7-10任一项所述的方法,该方法在步骤:轻代理客户端向扫描服务器发送文件扫描请求之前,还包括:所述轻代理客户端从所述轻代理客户端所在的物理机中的至少一台虚拟机获取文件扫描请求,其中,所述物理机中设置有多台虚拟机;
和/或,
所述轻代理客户端从与所述轻代理客户端所在的物理机位于同一集群的至少一台物理机的至少一台虚拟机中获取文件扫描请求,其中,所述集群包括至少一台物理机,每台所述物理机包括至少一台虚拟机。
12.如权利要求7-10任一项所述的方法,该方法在步骤:轻代理客户端根据所述指示向扫描服务器发送所述文件数据中的特定片段之前,还包括:
所述轻代理客户端从所述轻代理客户端所在的物理机中的至少一台虚拟机获取所述特定片段,其中,所述物理机中设置有多台虚拟机;
和/或,
所述轻代理客户端从与所述轻代理客户端所在的物理机位于同一集群的至少一台物理机的至少一台虚拟机中获取所述特定片段,其中,所述集群包括至少一台物理机,每台所述物理机包括至少一台虚拟机。
CN201410850353.0A 2014-12-30 2014-12-30 一种用于虚拟化环境中的文件检测系统及方法 Pending CN104598818A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410850353.0A CN104598818A (zh) 2014-12-30 2014-12-30 一种用于虚拟化环境中的文件检测系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410850353.0A CN104598818A (zh) 2014-12-30 2014-12-30 一种用于虚拟化环境中的文件检测系统及方法

Publications (1)

Publication Number Publication Date
CN104598818A true CN104598818A (zh) 2015-05-06

Family

ID=53124595

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410850353.0A Pending CN104598818A (zh) 2014-12-30 2014-12-30 一种用于虚拟化环境中的文件检测系统及方法

Country Status (1)

Country Link
CN (1) CN104598818A (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105590059A (zh) * 2015-12-18 2016-05-18 北京奇虎科技有限公司 虚拟机逃逸的检测方法及装置
CN106682505A (zh) * 2016-05-04 2017-05-17 腾讯科技(深圳)有限公司 一种病毒检测方法、终端、服务器及系统
CN107358096A (zh) * 2017-07-10 2017-11-17 成都虫洞奇迹科技有限公司 文件病毒查杀方法及系统
CN111027066A (zh) * 2019-10-30 2020-04-17 北京安天网络安全技术有限公司 一种kvm平台下杀毒软件客户端轻代理实现方法及系统
CN111782337A (zh) * 2020-06-12 2020-10-16 中信银行股份有限公司 一种基于虚拟机安全检查的报文传输系统及方法
CN114710482A (zh) * 2022-03-23 2022-07-05 马上消费金融股份有限公司 文件检测方法、装置、电子设备及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102571767A (zh) * 2011-12-24 2012-07-11 成都市华为赛门铁克科技有限公司 文件类型识别方法及文件类型识别装置
CN102708325A (zh) * 2012-05-17 2012-10-03 中国科学院计算技术研究所 虚拟桌面环境文件杀毒的方法和系统
CN103646062A (zh) * 2013-12-02 2014-03-19 北京奇虎科技有限公司 下载文件的扫描方法与装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102571767A (zh) * 2011-12-24 2012-07-11 成都市华为赛门铁克科技有限公司 文件类型识别方法及文件类型识别装置
CN102708325A (zh) * 2012-05-17 2012-10-03 中国科学院计算技术研究所 虚拟桌面环境文件杀毒的方法和系统
CN103646062A (zh) * 2013-12-02 2014-03-19 北京奇虎科技有限公司 下载文件的扫描方法与装置

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105590059A (zh) * 2015-12-18 2016-05-18 北京奇虎科技有限公司 虚拟机逃逸的检测方法及装置
CN106682505A (zh) * 2016-05-04 2017-05-17 腾讯科技(深圳)有限公司 一种病毒检测方法、终端、服务器及系统
CN106682505B (zh) * 2016-05-04 2020-06-12 腾讯科技(深圳)有限公司 一种病毒检测方法、终端、服务器及系统
US10803171B2 (en) 2016-05-04 2020-10-13 Tencent Technology (Shenzhen) Company Limited Virus detection method, terminal and server
CN107358096A (zh) * 2017-07-10 2017-11-17 成都虫洞奇迹科技有限公司 文件病毒查杀方法及系统
CN107358096B (zh) * 2017-07-10 2020-06-09 成都灵跃云创科技有限公司 文件病毒查杀方法及系统
CN111027066A (zh) * 2019-10-30 2020-04-17 北京安天网络安全技术有限公司 一种kvm平台下杀毒软件客户端轻代理实现方法及系统
CN111782337A (zh) * 2020-06-12 2020-10-16 中信银行股份有限公司 一种基于虚拟机安全检查的报文传输系统及方法
CN114710482A (zh) * 2022-03-23 2022-07-05 马上消费金融股份有限公司 文件检测方法、装置、电子设备及存储介质

Similar Documents

Publication Publication Date Title
CN104598818A (zh) 一种用于虚拟化环境中的文件检测系统及方法
US9294486B1 (en) Malware detection and analysis
RU2613535C1 (ru) Способ обнаружения вредоносных программ и элементов
RU2551820C2 (ru) Способ и устройство для проверки файловой системы на наличие вирусов
US9619650B2 (en) Method and device for identifying virus APK
EP3499364B1 (en) Method and device for loading kernel module
EP3654215B1 (en) Applying control flow integrity verification in intermediate code files
US20160335437A1 (en) Method and device for feature extraction
US20200380125A1 (en) Method for Detecting Libraries in Program Binaries
US20160267270A1 (en) Method and system for fast inspection of android malwares
CN103034808B (zh) 扫描方法、设备和系统以及云端管理方法和设备
US20180082061A1 (en) Scanning device, cloud management device, method and system for checking and killing malicious programs
CN103632100A (zh) 一种网站漏洞检测方法及装置
CN103902910A (zh) 检测智能终端中恶意代码的方法及装置
CN110866258B (zh) 快速定位漏洞方法、电子装置及存储介质
US9298926B2 (en) Remediation of security vulnerabilities in computer software
CN103207970A (zh) 病毒文件扫描方法及装置
US9495542B2 (en) Software inspection system
CN110023938A (zh) 利用函数长度统计确定文件相似度的系统和方法
US10055584B2 (en) Method and device for obtaining virus signatures
CN105791250B (zh) 应用程序检测方法及装置
CN104504331B (zh) 虚拟化安全检测方法与系统
KR101228902B1 (ko) 클라우드 컴퓨팅 기반 악성코드 분석 지원 시스템
CN105975599B (zh) 一种监测网站的页面埋点的方法和装置
CN106203105B (zh) 文件管理方法和装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20161221

Address after: 100088 Jiuxianqiao Chaoyang District Beijing Road No. 10, building 15, floor 17, layer 1701-26, 3

Applicant after: BEIJING QI'ANXIN SCIENCE & TECHNOLOGY CO., LTD.

Address before: 100088 Beijing city Xicheng District xinjiekouwai Street 28, block D room 112 (Desheng Park)

Applicant before: Beijing Qihoo Technology Co., Ltd.

Applicant before: Qizhi Software (Beijing) Co., Ltd.

TA01 Transfer of patent application right
RJ01 Rejection of invention patent application after publication

Application publication date: 20150506

RJ01 Rejection of invention patent application after publication