CN112346933A - 一种恶意文件扫描方法、装置、设备及介质 - Google Patents

一种恶意文件扫描方法、装置、设备及介质 Download PDF

Info

Publication number
CN112346933A
CN112346933A CN202011239882.9A CN202011239882A CN112346933A CN 112346933 A CN112346933 A CN 112346933A CN 202011239882 A CN202011239882 A CN 202011239882A CN 112346933 A CN112346933 A CN 112346933A
Authority
CN
China
Prior art keywords
time
target
scanning
suspension
occupancy rate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011239882.9A
Other languages
English (en)
Other versions
CN112346933B (zh
Inventor
邹荣新
杨柳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN202011239882.9A priority Critical patent/CN112346933B/zh
Publication of CN112346933A publication Critical patent/CN112346933A/zh
Application granted granted Critical
Publication of CN112346933B publication Critical patent/CN112346933B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3024Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a central processing unit [CPU]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5005Allocation of resources, e.g. of the central processing unit [CPU] to service a request
    • G06F9/5027Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2209/00Indexing scheme relating to G06F9/00
    • G06F2209/50Indexing scheme relating to G06F9/50
    • G06F2209/5018Thread allocation

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • Quality & Reliability (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本申请公开了一种恶意文件扫描方法、装置、设备及介质,该方法包括:创建扫描进程,并利用扫描进程中的目标线程对恶意文件进行扫描;监测当前目标线程的实时CPU占用率;判断实时CPU占用率是否大于目标CPU占用率;目标CPU占用率为允许目标线程占用的最大CPU使用率;若实时CPU占用率大于目标CPU占用率,则确定出与目标线程对应的挂起时间,然后基于挂起时间对目标线程进行挂起。本申请通过监测用于对恶意文件进行扫描的目标线程的实时CPU占用率,并根据实时CPU占用率和目标CPU占用率确定出与目标线程对应的挂起时间,对目标线程进行挂起,通过这种方式,降低了恶意文件扫描装置在扫描恶意文件时对系统CPU资源的占用。

Description

一种恶意文件扫描方法、装置、设备及介质
技术领域
本发明涉及计算机领域,特别涉及一种恶意文件扫描方法、装置、设备及介质。
背景技术
当前,在某些场景下,比如常用来实现桌面云技术的虚拟桌面基础架构(即VDI,Virtual Desktop Infrastructure)场景,在该场景下,虚拟桌面基础架构可以根据用户数量来抽象操作系统,通过在数据中心的服务器运行Windows XP,将用户的桌面进行虚拟化。用户通过来自客户端设备的客户计算协议与虚拟桌面进行连接,使用户像访问传统的本地安装桌面一样的访问虚拟桌面。
然而,目前基于虚拟桌面基础架构环境下的恶意文件扫描系统或装置在运行时会影响到VDI的使用效率,恶意文件扫描装置在检测恶意文件时会占用较多的CPU资源,从而导致VDI的接入并发数减少,即导致同一时间段可访问服务器站点的连接数减少,影响了其它用户的正常使用。因此,如何解决恶意文件扫描装置在检测恶意文件时的CPU资源占用过高是目前广泛关注的问题。
发明内容
有鉴于此,本发明的目的在于提供一种恶意文件扫描方法、装置、设备及介质。其具体方案如下:
第一方面,本申请公开了一种恶意文件扫描方法,应用于终端检测响应平台EDR上的客户端agent,包括:
创建扫描进程,并利用所述扫描进程中的目标线程对恶意文件进行扫描;
监测当前所述目标线程的实时CPU占用率;
判断所述实时CPU占用率是否大于目标CPU占用率;所述目标CPU占用率为允许所述目标线程占用的最大CPU使用率;
若所述实时CPU占用率大于所述目标CPU占用率,则确定出与所述目标线程对应的挂起时间,然后基于所述挂起时间对所述目标线程进行挂起。
可选的,所述利用所述扫描进程中的目标线程对恶意文件进行扫描,包括:
通过所述扫描进程加载扫描配置;所述扫描配置包括扫描的文件类型和/或扫描模式和/或恶意文件处理方式;
利用所述扫描进程中的所述目标线程扫描恶意文件。
可选的,所述在加载扫描配置的步骤之前,包括:
获取本地预先设置的或所述终端检测响应平台EDR上的管理平台MGR预先设置的所述扫描配置。
可选的,所述获取本地预先设置的或所述终端检测响应平台EDR上的管理平台MGR预先设置的所述扫描配置,还包括:
在所述管理平台MGR上设有的用于对本地设置权限进行限制的配置锁处于开启状态时,则获取所述终端检测响应平台EDR上的管理平台MGR预先设置的所述扫描配置。
可选的,所述监测当前所述目标线程的实时CPU占用率,包括:
开启一个新线程作为监控线程并利用所述监控线程监测所述目标线程的实时CPU占用率;
相应地,所述判断所述实时CPU占用率是否大于目标CPU占用率之前,包括:
若所述扫描配置中的资源优化模式为开启状态,则基于所述扫描模式和所述资源优化模式确定针对所述扫描进程的CPU使用率限制参数;
根据所述CPU使用率限制参数、所述监控线程的CPU占用率和所述目标线程的线程数计算所述目标线程相应的目标CPU占用率。
可选的,所述确定出与所述目标线程对应的挂起时间,然后基于所述挂起时间对所述目标线程进行挂起,包括:
基于所述目标线程的实时CPU占用率和执行时间,以及所述目标CPU占用率确定出与所述目标线程对应的挂起时间;
基于所述挂起时间对所述目标线程进行挂起。
可选的,所述基于所述挂起时间对所述目标线程进行挂起,包括:
基于所述挂起时间,确定挂起初始值,判断所述挂起初始值是否大于预设挂起时间上限阈值,以及判断所述挂起初始值是否小于预设挂起时间下限阈值;
若所述挂起初始值大于所述预设挂起时间上限阈值,则控制所述目标线程下次挂起第一时长;所述第一时长为通过第一下次挂起时间计算经验公式计算得到;
若所述挂起初始值小于所述预设挂起时间下限阈值,则控制所述目标线程下次挂起第二时长;所述第二时长为通过第二下次挂起时间计算经验公式计算得到;
若所述挂起初始值在所述预设挂起时间上限阈值与下限阈值之间,则控制所述目标线程下次挂起第三时长;所述第三时长为通过第三下次挂起时间计算经验公式计算得到;
其中,所述挂起初始值、所述第一下次挂起时间计算经验公式、所述第二下次挂起时间计算经验公式、所述第三下次挂起时间计算经验公式,以及所述预设挂起时间上限阈值和所述预设挂起时间下限阈值,均为基于所述CPU使用率限制参数并以优化CPU占用率为确定原则确定出来的。
第二方面,本申请公开了一种恶意文件扫描装置,包括:
线程开启模块,用于开启用于扫描恶意文件的目标线程;
监测模块,用于监测当前所述目标线程的实时CPU占用率;
判断模块,用于判断所述实时CPU占用率是否大于目标CPU占用率;所述目标CPU占用率为允许所述目标线程占用的最大CPU使用率;
挂起模块,用于若所述实时CPU占用率大于所述目标CPU占用率,则确定出与所述目标线程对应的挂起时间,然后基于所述挂起时间对所述目标线程进行挂起。
第三方面,本申请公开了一种电子设备,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现前述的恶意文件扫描方法。
第四方面,本申请公开了一种计算机可读存储介质,用于存储计算机程序;其中计算机程序被处理器执行时实现前述的恶意文件扫描方法。
本申请中,首先创建扫描进程,利用所述扫描进程中的目标线程对恶意文件进行扫描,然后监测所述目标线程的实时CPU占用率,并判断所述实时CPU占用率是否大于目标CPU占用率,其中,所述目标CPU占用率为允许所述目标线程占用的最大CPU使用率;若所述实时CPU占用率大于所述目标CPU占用率,则确定出与所述目标线程对应的挂起时间,并基于所述挂起时间对目标线程进行挂起。本申请通过监测用于对恶意文件进行扫描的目标线程的实时CPU占用率,并根据实时CPU占用率和目标CPU占用率确定出与目标线程对应的挂起时间,对目标线程进行挂起,通过这种方式,对实时CPU占用率大于目标CPU占用率的目标线程进行挂起,降低了恶意文件扫描装置在扫描恶意文件时对系统CPU资源的占用。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请提供的一种恶意文件扫描方法流程图;
图2为本申请提供的一种具体的恶意文件扫描方法流程图;
图3为本申请提供的资源优化模式设置界面图;
图4为本申请提供的恶意文件扫描结果示意图;
图5为本申请提供的一种具体的恶意文件扫描方法流程图;
图6为本申请提供的一种恶意文件扫描装置结构示意图;
图7为本申请提供的一种电子设备结构图。
具体实施方式
当前,基于虚拟桌面架构环境下的恶意文件扫描装置在检测恶意文件时会占用较多的CPU资源,进而会影响到VDI的接入并发数。为克服上述问题,本申请提供一种恶意文件扫描方法,可以降低恶意文件扫描装置在扫描恶意文件时对系统CPU资源的占用。
本发明实施例公开了一种恶意文件扫描方法,应用于终端检测响应平台EDR(即Endpoint Detection And Response)上的客户端agent,参见图1所示,该方法可以包括以下步骤:
步骤S11:创建扫描进程,并利用所述扫描进程中的目标线程对恶意文件进行扫描。
本实施例中,通过创建扫描进程,然后利用扫描进程中的目标线程对恶意文件进行扫描;可以理解的是,创建的扫描进程中可以有一个或多个目标线程,并且目标线程作为最小的程序执行单位用于对恶意文件进行扫描。其中,恶意文件包括但不限于病毒和广告。
本实施例中,所述利用所述扫描进程中的目标线程对恶意文件进行扫描,可以包括:通过所述扫描进程加载扫描配置;所述扫描配置包括扫描的文件类型和/或扫描模式和/或恶意文件处理方式;利用所述扫描进程中的所述目标线程扫描恶意文件。
在本申请实施例中,当目标线程为多个时,可以仅对部分目标线程进行配置,也可以对全部目标线程进行配置。本领域技术人员容易理解,当目标线程为多个,但仅对部分目标线程进行配置时,其余目标线程所需的工作模式为开发时期已经固化的模式。此外,对于某一扫描线程来说,扫描的文件类型、扫描模式以及恶意文件处理方式也并非均需配置,具体配置方式可根据扫描线程的具体情况而定,比如,若该扫描线程的扫描模式已经被固化,则无需再进行配置;又比如,若该扫描线程不执行恶意文件处理操作,则无需对恶意文件处理方式进行配置。
可以理解的是,在创建上述扫描进程后,利用上述扫描进程加载扫描系统中的扫描配置;其中,上述扫描配置可以包括但不限于扫描的文件类型、扫描模式和恶意文件处理方式,其中,上述扫描模式可以包括但不限于极速模式、均衡模式和低耗模式(为自定义命名)。在扫描进程加载完扫描配置后,上述目标线程再根据上述扫描配置中的相应配置参数对恶意文件进行扫描。由此一来,可以根据用户的需求对恶意文件进行扫描和处理。
本实施例中,所述加载扫描配置,可以包括:加载本地预先设置的或所述终端检测响应平台EDR上的管理平台MGR(Manager)预先设置的所述扫描配置。可以理解的是,可以通过本地,即上述客户端agent,即安装有恶意文件扫描装置的VDI设置扫描配置,也可以通过上述终端检测相应平台EDR上的管理平台MGR设置上述扫描配置,由此一来,可以方便用户通过多种方式对扫描配置进行设置。
本实施例中,所述加载本地预先设置的或所述终端检测响应平台EDR上的管理平台MGR预先设置的所述扫描配置,还可以包括:若所述管理平台MGR上设有的用于对本地设置权限进行限制的配置锁处于开启状态,则获取所述终端检测响应平台EDR上的管理平台MGR预先设置的所述扫描配置。可以理解的是,可以通过在上述管理平台MGR上安装上述配置锁以对本地进行扫描配置的设置权限进行限制,即当上述管理平台MGR上安装的配置锁处于开启状态时,则不能通过上述客户端agent对扫描配置进行设置,只能以通过MGR设置的扫描配置为准。
步骤S12:监测当前所述目标线程的实时CPU占用率。
本实施例中,可以理解的是,在创建扫描进程,并由目标线程对恶意文件进行扫描的过程中,通过对当前用于对恶意文件进行扫描的目标线程进行监测,以得到当前目标线程的实时CPU占用率。在本申请实施例中,若目标线程为多个时,可以监测每一个目标线程的实时CPU占用率;也可以将若干个目标线程看成一个整体,获取该整体的实时CPU占用率,本申请对此不作限定,然而,为了更精准的控制目标进程的CPU占用率,可以对每一个目标线程进行监测。
此外,目标线程的实时CPU占用率的监测方法可以为:在目标进程中创建一监控线程,通过该监控线程实现对目标线程实时CPU占用率的检测,然而,线程CPU占用率的监测方法本申请并不具体限定。
步骤S13:判断所述实时CPU占用率是否大于目标CPU占用率;所述目标CPU占用率为允许所述目标线程占用的最大CPU使用率。
本实施例中,在通过监测上述目标线程得到目标线程的实时CPU占用率后,判断上述实时CPU占用率是否大于目标CPU占用率,其中,上述目标CPU占用率为允许上述目标线程占用的最大CPU使用率;可以理解的是,可以通过对扫描进程中用于对恶意文件进行扫描的目标线程的CPU占用率进行调整,进而减少扫描进程在扫描时对CPU资源的占用。
步骤S14:若所述实时CPU占用率大于所述目标CPU占用率,则确定出与所述目标线程对应的挂起时间,然后基于所述挂起时间对所述目标线程进行挂起。
本实施例中,若通过判断得到上述实时CPU占用率大于上述目标CPU占用率,则确定出对上述目标线程相应的挂起时间,并基于上述挂起时间对上述目标线程进行挂起。比如,可以提示用户输入挂起时间,或者可以自动计算挂起时间,可以理解的是,可以基于上述实时CPU占用率和上述目标CPU资源占用率确定出相应的目标线程的挂起时间,并基于上述挂起时间对相应的目标线程进行挂起,比如,在一个时间片100ms内,监测到目标线程的实时CPU占用率为50%,若目标CPU占用率为25%,则说明需要在时间片内额外增加挂起时间25ms,才能够使得CPU占用率调整为25%。
此外,本领域技术人员容易理解,若步骤S12获取的实时CPU占用率所针对的是作为一个整体的“多个目标线程”,则相应地,该步骤S13执行挂起操作的也是该作为一个整体的“多个目标线程”,即同时将该多个目标线程进行挂起。
由上可见,本实施例中首先创建扫描进程,利用所述扫描进程中的目标线程对恶意文件进行扫描,然后监测所述目标线程的实时CPU占用率,并判断所述实时CPU占用率是否大于目标CPU占用率,其中,所述目标CPU占用率为允许所述目标线程占用的最大CPU使用率;若所述实时CPU占用率大于所述目标CPU占用率,则确定出与所述目标线程对应的挂起时间,并基于所述挂起时间对目标线程进行挂起。本实施例通过监测用于对恶意文件进行扫描的目标线程的实时CPU占用率,并对实时CPU占用率大于目标CPU占用率的目标线程进行挂起,降低了恶意文件扫描装置在扫描恶意文件时对系统CPU资源的占用。
本发明实施例公开了一种具体的恶意文件扫描方法,参见图2所示,该方法可以包括以下步骤:
步骤S21:创建扫描进程,通过所述扫描进程加载扫描配置;所述扫描配置包括扫描的文件类型和/或扫描模式和/或恶意文件处理方式;利用所述扫描进程中的所述目标线程扫描恶意文件。
本实施例中,在创建扫描进程后,通过扫描进程加载扫描配置,并利用扫描进程中的目标线程进行文件扫描以确定恶意文件;其中,上述扫描配置包括但不限于扫描的文件类型、扫描模式和恶意文件处理方式。
步骤S22:若所述扫描配置中的资源优化模式为开启状态,则基于所述扫描模式和所述资源优化模式确定针对所述扫描进程的CPU使用率限制参数。
本实施例中,在创建扫描进程并加载完成扫描配置后,判断上述扫描配置中的资源优化模式是否处于开启状态。例如图3所示,当用户选择开启资源优模式后,即用户选择在资源优化模式下对恶意文件进行扫描。在查询到上述资源优化模式处于开启状态时,可以基于上述扫描模式中的具体扫描模式和上述资源优化模式确定出针对上述扫描进程的CPU使用率限制参数。可以理解的是,EDR在不同扫描模式下通过限制进程CPU占用的方式对CPU资源占用做了一定的限制,但这种限制的效果较差,不能做到严格的限制,当开启资源优化模式后,会根据具体的扫描模式和资源优化模式确定出相应的CPU使用率限制参数,将更加严格的限制恶意文件扫描时的CPU资源占用。例如,本实施例中在极速模式下不对CPU的资源占用进行限制,在开启资源优化模式后,扫描进程的CPU资源占用限制按预设的参数调整为不超过50%,以得到资源优化模式下极速模式对应的扫描进程的CPU使用率限制参数;均衡模式下CPU的资源占用不超过30%,在开启资源优化模式后,CPU资源占用限制按预设的参数调整为不超过20%,以得到资源优化模式下均衡模式对应的CPU使用率限制参数;低耗模式下CPU的资源占用不超过10%,在开启资源优化模式后,CPU资源占用限制按预设的参数调整为不超过5%,以得到资源优化模式下低耗模式对应的CPU使用率限制参数。
步骤S23:开启一个新线程作为监控线程并利用所述监控线程监测所述目标线程的实时CPU占用率。
在本申请实施例中,可以开启一个新线程作为监控线程,并利用上述监控线程对目标线程的相关运行参数进行监控,以得到目标线程的实时CPU占用率。
步骤S24:根据所述CPU使用率限制参数、所述监控线程的CPU占用率和所述目标线程的线程数计算所述目标线程相应的目标CPU占用率。
本实施例中,通过上述CPU使用率限制参数、上述监控线程的CPU占用率和上述目标线程的线程数可以确定出上述目标线程对应的目标CPU占用率(该目标CPU占用率可以对应一个目标线程,也可以对应多个目标线程,但为了更为精准的调整目标进程的CPU占用率,可对应一个目标线程)。可以理解的是,根据上述CPU使用率限制参数并考虑到需要补偿上述监控线程的CPU占用率后,再基于目标线程的线程数计算出每个目标线程可占用的最大CPU使用率,以得到上述目标线程对应的目标CPU占用率。可以理解的是,扫描进程中可以存在多个线程以执行不同的任务,上述目标线程为扫描进程中用于对恶意文件进行扫描的线程。
步骤S25:基于所述目标线程的实时CPU占用率和所述目标CPU占用率确定出与所述目标线程对应的挂起时间。
本实施例中,在确定出上述目标CPU占用率后,基于目标线程对应的实时CPU占用率和目标CPU占用率可以确定出对目标线程的挂起时间。
例如,监测得到目标线程的实时CPU占用率为100%,时间片为0.5s,如果目标CPU占用率为50%,则可以确定上述挂起时间为250ms。
步骤S26:基于所述挂起时间对所述目标线程进行挂起。
本实施例中,在确定出上述挂起时间后,基于上述挂起时间对目标线程进行挂起。例如,根据确定得上述挂起时间为250ms,对目标线程每执行50ms就将该目标线程挂起50ms,循环5次,这样在0.5s的时间内,目标线程的CPU占用率可以降低为50%。
本领域技术人员应该理解,在计算出挂起时间为250ms之后,具体在时间片内如何实现250ms的挂起本申请对此不做限定,可以如上举例,循环5次挂起50ms,也可以是其他方式,本申请对此不作限定。
通过上述的恶意文件扫描方法扫描出恶意文件后,例如图4所示,将上述恶意文件的相关参数显示在上述客户端agent上。
其中,关于上述步骤S21的具体过程可以参考前述实施例公开的相应内容,在此不再进行赘述。
由上可见,本实施例通过开启监控线程对目标线程进行监控以得到实时CPU占用率,并根据当前扫描模式和资源优化模式的开启状态确定出对扫描进程的CPU使用率限制参数,进而再根据监控线程的CPU占用率和目标线程的线程数确定出目标线程对应的目标CPU占用率,最后基于目标线程的实时CPU占用率和执行时间,以及目标CPU占用率确定出与目标线程对应的挂起时间,并基于上述挂起时间对目标线程进行挂起。通过这种方式,根据CPU使用率限制参数和目标线程的线程数,并考虑对监控线程的CPU占用率的补偿,确定出目标线程的目标CPU占用率,进一步根据目标CPU占用率和实时CPU占用率确定出对目标线程的挂起时间并进行挂起,由于综合考虑了监控线程的补偿可以实现对CPU占用率更加精确和严格的限制,降低了恶意文件扫描装置在扫描恶意文件时对系统CPU资源的占用。
本发明实施例公开了一种具体的恶意文件扫描方法,参见图5示,该方法可以包括以下步骤:
步骤S31:创建扫描进程,通过所述扫描进程加载扫描配置;所述扫描配置包括扫描的文件类型和/或扫描模式和/或恶意文件处理方式;利用所述扫描进程中的所述目标线程扫描恶意文件。
步骤S32:若所述扫描配置中的资源优化模式为开启状态,则基于所述扫描模式和所述资源优化模式确定针对所述扫描进程的CPU使用率限制参数。
步骤S33:开启一个新线程作为监控线程并利用所述监控线程监测所述目标线程的实时CPU占用率。
步骤S34:根据所述CPU使用率限制参数、所述监控线程的CPU占用率和所述目标线程的线程数计算所述目标线程相应的目标CPU占用率。
步骤S35:基于所述目标线程的实时CPU占用率和所述目标CPU占用率确定出与所述目标线程对应的挂起时间。
步骤S36:基于所述挂起时间,确定挂起初始值,判断所述挂起初始值是否大于预设挂起时间上限阈值,以及判断所述挂起初始值是否小于预设挂起时间下限阈值。
本实施例中,在确定出上述挂起时间后,确定挂起初始值,该挂起初始值的计算方式可以通过大量试验得到的经验公式计算得到(具体经验公式的获取方式下文会阐述)。
判断上述挂起初始值是否大于预设挂起时间上限阈值,并判断上述挂起初始值是否小于预设挂起时间下限阈值,即判断上述挂起初始值是否超出由上述预设挂起时间上限阈值和预设挂起时间下限阈值确定的挂起时间范围。
步骤S37:若所述挂起初始值大于所述预设挂起时间上限阈值,则控制所述目标线程下次挂起第一时长;所述第一时长为通过第一下次挂起时间计算经验公式计算得到。
本实施例中,如果上述挂起初始值大于上述预设挂起时间上限阈值,则通过第一下次挂起时间计算经验公式得到的第一时长,并将上述第一时长作为下次挂起时间对上述目标线程进行挂起。
步骤S38:若所述挂起初始值小于所述预设挂起时间下限阈值,则控制所述目标线程下次挂起第二时长;所述第二时长为通过第二下次挂起时间计算经验公式计算得到。
本实施例中,如果上述挂起初始值小于上述预设挂起时间下限阈值,则通过第二下次挂起时间计算公式得到第二时长,并将上述第二时长作为下次挂起时间对上述目标线程进行挂起。
此外,如果挂起初始值在预设挂起时间上下限阈值范围内时,则以第三下次挂起时间计算经验公式得到。如此循环往负得到各个挂起的时长。
其中,挂起初始值计算经验公式、上述第一下次挂起时间计算经验公式、上述第二下次挂起时间计算经验公式、上述第三下次挂起时间计算经验公式以及预设挂起时间上限阈值和预设挂起时间下限阈值均为基于上述CPU使用率限制参数并以优化CPU占用率为确定原则,经过大量试验确定出来的,通过这些经验公式和参数,可以使得不仅能够使得线程的CPU占用率降低,而且能够避免进程的CPU占用率过低,影响CPU使用效率。可以理解的是,由于上述挂起时间是根据CPU使用率限制参数和目标线程的实时CPU占用率确定的理论挂起时间,但在实际应用中,直接利用上述挂起时间对目标线程进行挂起时,可能导致目标进程的实时CPU占用率远低于上述CPU使用率限制参数,虽然成功限制了对CPU资源的占用,但过低的CPU资源占用率影响到扫描效率;因此基于确定出的挂起时间,并结合上述经验所得参数和公式,重新计算在一个时间片内的各个挂起时间,本领域技术人员容易理解,本实施例所得的各个挂起时间之和应与上述挂起时间不同。本实施例可以在不超出上述CPU使用率限制参数的基础上,尽可能的让目标线程的CPU占用率接近CPU使用率限制参数,以提高扫描的效率。
以下对本实施例的进行具体举例,所述恶意文件扫描方法,还包括:若所述CPU使用率限制参数小于或等于第一限制阈值,则将所述预设挂起时间上限阈值和所述预设挂起时间下限阈值分别设置为第一时间上限和第一时间下限;若所述CPU使用率限制参数大于所述第一限制阈值,则将所述预设挂起时间上限阈值和所述预设挂起时间下限阈值分别设置为第二时间上限和第二时间下限;
可以理解的是,在确定出上述挂起初始值后,判断上述CPU使用率限制参数与上述第一限制阈值的大小关系,当上述CPU使用率限制参数小于或等于该第一限制阈值时,则可确定出相应的预设挂起时间上限阈值第一时间上限,预设挂起时间下限阈值为第一时间下限;如果挂起初始值大于第一时间上限,则通过第一下次挂起时间计算经验公式计算得到下一次的挂起时间,对目标线程进行挂起;如果挂起初始值小于第一时间下限,则通过第二下次挂起时间计算经验公式计算下一次挂起时间,对目标线程进行挂起。当上述CPU使用率限制参数大于上述第一限制阈值,则可确定出相应的预设挂起时间上限阈值为第二时间上限,预设挂起时间下限阈值为第二时间下限;如果挂起初始值大于第二时间上限,则通过第一下次挂起时间计算经验公式计算得到下次挂起时间(该第一下次挂起时间计算经验公式与小于等于第一限制阈值时的第一下次挂起时间计算经验公式可以不同),对目标线程进行挂起;如果挂起初始值小于第二时间下限,则通过第二下次挂起时间计算经验公式计算得到下次挂起时间,对目标线程进行挂起(该第二下次挂起时间计算经验公式与小于等于第一限制阈值时的第二下次挂起时间计算经验公式可以不同)。
其中,关于上述步骤S31至步骤S35的具体过程可以参考前述实施例公开的相应内容,在此不再进行赘述。
由上可见,本实施例中,在确定出挂起初始值后,判断挂起初始值是否大于预设挂起时间上限阈值,以及判断所述挂起初始值是否小于预设挂起时间下限阈值;若挂起初始值大于预设挂起时间上限阈值,则控制目标线程下次挂起第一时长,其中上述第一时长为通过第一下次挂起时间计算经验公式计算得到;若上述挂起初始值小于上述预设挂起时间下限阈值,则控制上述目标线程下次挂起第二时长,其中上述第二时长为通过第二下次挂起时间计算经验公式计算得到。通过这种方式,可以尽可能的让扫描进程对CPU资源的占用率接近CPU使用率限制参数,由此可以在保证恶意文件扫描装置不超过限制的CPU占用率的同时尽可能保证恶意文件扫描装置的工作效率。
相应的,本申请实施例还公开了一种恶意文件扫描装置,参见图6所示,该装置包括:
线程开启模块11,用于开启用于扫描恶意文件的目标线程;
监测模块12,用于监测当前所述目标线程的实时CPU占用率;
判断模块13,用于判断所述实时CPU占用率是否大于目标CPU占用率;所述目标CPU占用率为允许所述目标线程占用的最大CPU使用率;
挂起模块14,用于若所述实时CPU占用率大于所述目标CPU占用率,则确定出与所述目标线程对应的挂起时间,然后基于所述挂起时间对所述目标线程进行挂起。
由上可见,本实施例通过监测用于对恶意文件进行扫描的目标线程的实时CPU占用率,并根据实时CPU占用率和目标CPU占用率确定出与目标线程对应的挂起时间,对目标线程进行挂起,通过这种方式,对实时CPU占用率大于目标CPU占用率的目标线程进行挂起,降低了恶意文件扫描装置在扫描恶意文件时对系统CPU资源的占用。
在一些实施例中,所述线程开启模块11具体可以包括:
扫描配置加载单元,用于通过所述扫描进程加载扫描配置;所述扫描配置包括扫描的文件类型和/或扫描模式和/或恶意文件处理方式;
所述扫描配置加载单元,具体可以用于加载本地预先设置的或所述终端检测响应平台EDR上的管理平台MGR预先设置的所述扫描配置;
扫描单元,用于利用所述扫描进程中的所述目标线程扫描恶意文件。
在一些实施例中,所述监测模块12具体可以包括:
CPU使用率限制参数确定单元,用于若所述扫描配置中的资源优化模式为开启状态,则基于所述扫描模式和所述资源优化模式确定针对所述扫描进程的CPU使用率限制参数;
监测单元,用于开启一个新线程作为监控线程并利用所述监控线程监测所述目标线程的实时CPU占用率;
目标CPU占用率确定单元,用于根据所述CPU使用率限制参数、所述监控线程的CPU占用率和所述目标线程的线程数计算所述目标线程相应的目标CPU占用率。
在一些实施例中,所述挂起模块14具体可以包括:
挂起时间确定单元,用于基于所述目标线程的实时CPU占用率和执行时间,以及所述CPU使用率限制参数确定出与所述目标线程对应的挂起时间;
第一挂起单元,用于基于所述挂起时间对所述目标线程进行挂起;
判定单元,用于基于所述挂起时间,确定挂起初始值,判断所述挂起初始值是否大于预设挂起时间上限阈值,以及判断所述挂起初始值是否小于预设挂起时间下限阈值;
第一时长确定单元,用于若所述挂起初始值大于所述预设挂起时间上限阈值,则控制所述目标线程下次挂起第一时长;所述第一时长为通过第一下次挂起时间计算经验公式计算得到;
第二时长确定单元,用于若所述挂起初始值小于所述预设挂起时间下限阈值,则控制所述目标线程下次挂起第二时长;所述第二时长为通过第二下次挂起时间计算经验公式计算得到。
进一步的,本申请实施例还公开了一种电子设备,参见图7所示,图中的内容不能被认为是对本申请的使用范围的任何限制。
图7为本申请实施例提供的一种电子设备20的结构示意图。该电子设备20,具体可以包括:至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中,所述存储器22用于存储计算机程序,所述计算机程序由所述处理器21加载并执行,以实现前述任一实施例公开的恶意文件扫描方法中的相关步骤。
本实施例中,电源23用于为电子设备20上的各硬件设备提供工作电压;通信接口24能够为电子设备20创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议,在此不对其进行具体限定;输入输出接口25,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
另外,存储器22作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源包括操作系统221、计算机程序222及包括挂起时间在内的数据223等,存储方式可以是短暂存储或者永久存储。
其中,操作系统221用于管理与控制电子设备20上的各硬件设备以及计算机程序222,以实现处理器21对存储器22中海量数据223的运算与处理,其可以是Windows Server、Netware、Unix、Linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的恶意文件扫描方法的计算机程序之外,还可以进一步包括能够用于完成其他特定工作的计算机程序。
进一步的,本申请实施例还公开了一种计算机存储介质,所述计算机存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现前述任一实施例公开的恶意文件扫描方法步骤。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的恶意文件扫描方法、装置、设备及介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种恶意文件扫描方法,其特征在于,应用于终端检测响应平台EDR上的客户端agent,包括:
创建扫描进程,并利用所述扫描进程中的目标线程对恶意文件进行扫描;
监测当前所述目标线程的实时CPU占用率;
判断所述实时CPU占用率是否大于目标CPU占用率;所述目标CPU占用率为允许所述目标线程占用的最大CPU使用率;
若所述实时CPU占用率大于所述目标CPU占用率,则确定出与所述目标线程对应的挂起时间,然后基于所述挂起时间对所述目标线程进行挂起。
2.根据权利要求1所述的恶意文件扫描方法,其特征在于,所述利用所述扫描进程中的目标线程对恶意文件进行扫描,包括:
通过所述扫描进程加载扫描配置;所述扫描配置包括扫描的文件类型和/或扫描模式和/或恶意文件处理方式;
利用所述扫描进程中的所述目标线程扫描恶意文件。
3.根据权利要求2所述的恶意文件扫描方法,其特征在于,在所述加载扫描配置的步骤之前,包括:
获取本地预先设置的或所述终端检测响应平台EDR上的管理平台MGR预先设置的所述扫描配置。
4.根据权利要求3所述的恶意文件扫描方法,其特征在于,所述获取本地预先设置的或所述终端检测响应平台EDR上的管理平台MGR预先设置的所述扫描配置,还包括:
在所述管理平台MGR上设有的用于对本地设置权限进行限制的配置锁处于开启状态时,则获取所述终端检测响应平台EDR上的管理平台MGR预先设置的所述扫描配置。
5.根据权利要求1至4任一项所述的恶意文件扫描方法,其特征在于,所述监测当前所述目标线程的实时CPU占用率,包括:
开启一个新线程作为监控线程并利用所述监控线程监测所述目标线程的实时CPU占用率;
所述判断所述实时CPU占用率是否大于目标CPU占用率之前,还包括:
若所述扫描配置中的资源优化模式为开启状态,则基于所述扫描模式和所述资源优化模式确定针对所述扫描进程的CPU使用率限制参数;
根据所述CPU使用率限制参数、所述监控线程的CPU占用率和所述目标线程的线程数计算所述目标线程对应的目标CPU占用率。
6.根据权利要求1至5任一项所述的恶意文件扫描方法,其特征在于,所述确定出与所述目标线程对应的挂起时间,然后基于所述挂起时间对所述目标线程进行挂起,包括:
基于所述目标线程的实时CPU占用率和所述目标CPU占用率确定出与所述目标线程对应的挂起时间;
基于所述挂起时间对所述目标线程进行挂起。
7.根据权利要求6所述的恶意文件扫描方法,其特征在于,所述基于所述挂起时间对所述目标线程进行挂起,包括:
基于所述挂起时间,确定挂起初始值,判断所述挂起初始值是否大于预设挂起时间上限阈值,以及判断所述挂起初始值是否小于预设挂起时间下限阈值;
若所述挂起初始值大于所述预设挂起时间上限阈值,则控制所述目标线程下次挂起第一时长;所述第一时长为通过第一下次挂起时间计算经验公式计算得到;
若所述挂起初始值小于所述预设挂起时间下限阈值,则控制所述目标线程下次挂起第二时长;所述第二时长为通过第二下次挂起时间计算经验公式计算得到;
若所述挂起初始值在所述预设挂起时间上限阈值与下限阈值之间,则控制所述目标线程下次挂起第三时长;所述第三时长为通过第三下次挂起时间计算经验公式计算得到;
其中,所述挂起初始值、所述第一下次挂起时间计算经验公式、所述第二下次挂起时间计算经验公式、所述第三下次挂起时间计算经验公式,以及所述预设挂起时间上限阈值和所述预设挂起时间下限阈值,均为基于所述CPU使用率限制参数并以优化CPU占用率为确定原则确定出来的。
8.一种恶意文件扫描装置,其特征在于,包括:
线程开启模块,用于开启用于扫描恶意文件的目标线程;
监测模块,用于监测当前所述目标线程的实时CPU占用率;
判断模块,用于判断所述实时CPU占用率是否大于目标CPU占用率;所述目标CPU占用率为允许所述目标线程占用的最大CPU使用率;
挂起模块,用于若所述实时CPU占用率大于所述目标CPU占用率,则确定出与所述目标线程对应的挂起时间,然后基于所述挂起时间对所述目标线程进行挂起。
9.一种电子设备,其特征在于,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现如权利要求1至7任一项所述的恶意文件扫描方法。
10.一种计算机可读存储介质,其特征在于,用于存储计算机程序;其中计算机程序被处理器执行时实现如权利要求1至7任一项所述的恶意文件扫描方法。
CN202011239882.9A 2020-11-09 2020-11-09 一种恶意文件扫描方法、装置、设备及介质 Active CN112346933B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011239882.9A CN112346933B (zh) 2020-11-09 2020-11-09 一种恶意文件扫描方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011239882.9A CN112346933B (zh) 2020-11-09 2020-11-09 一种恶意文件扫描方法、装置、设备及介质

Publications (2)

Publication Number Publication Date
CN112346933A true CN112346933A (zh) 2021-02-09
CN112346933B CN112346933B (zh) 2023-03-17

Family

ID=74430154

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011239882.9A Active CN112346933B (zh) 2020-11-09 2020-11-09 一种恶意文件扫描方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN112346933B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113676489A (zh) * 2021-09-13 2021-11-19 深信服科技股份有限公司 一种威胁文件处置方法、装置及介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6434591B1 (en) * 1998-06-19 2002-08-13 Kabushiki Kaisha Toshiba Thread control system and method in a computer system
US20030126184A1 (en) * 2001-12-06 2003-07-03 Mark Austin Computer apparatus, terminal server apparatus & performance management methods therefor
CN101114984A (zh) * 2006-07-27 2008-01-30 中兴通讯股份有限公司 一种多线程网络负载控制方法
CN101876933A (zh) * 2009-04-28 2010-11-03 深圳富泰宏精密工业有限公司 Cpu使用率分析系统及方法
CN104615497A (zh) * 2015-02-13 2015-05-13 广州华多网络科技有限公司 一种线程挂起的处理方法及装置
CN106126335A (zh) * 2016-06-15 2016-11-16 青岛海信电器股份有限公司 终端设备的媒体扫描方法及终端设备
CN106407088A (zh) * 2016-09-08 2017-02-15 努比亚技术有限公司 一种对多核cpu进行检测的方法和装置
CN109324878A (zh) * 2018-09-20 2019-02-12 郑州云海信息技术有限公司 一种进程cpu占用率的控制方法及相关设备

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6434591B1 (en) * 1998-06-19 2002-08-13 Kabushiki Kaisha Toshiba Thread control system and method in a computer system
US20030126184A1 (en) * 2001-12-06 2003-07-03 Mark Austin Computer apparatus, terminal server apparatus & performance management methods therefor
CN101114984A (zh) * 2006-07-27 2008-01-30 中兴通讯股份有限公司 一种多线程网络负载控制方法
CN101876933A (zh) * 2009-04-28 2010-11-03 深圳富泰宏精密工业有限公司 Cpu使用率分析系统及方法
CN104615497A (zh) * 2015-02-13 2015-05-13 广州华多网络科技有限公司 一种线程挂起的处理方法及装置
CN106126335A (zh) * 2016-06-15 2016-11-16 青岛海信电器股份有限公司 终端设备的媒体扫描方法及终端设备
CN106407088A (zh) * 2016-09-08 2017-02-15 努比亚技术有限公司 一种对多核cpu进行检测的方法和装置
CN109324878A (zh) * 2018-09-20 2019-02-12 郑州云海信息技术有限公司 一种进程cpu占用率的控制方法及相关设备

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113676489A (zh) * 2021-09-13 2021-11-19 深信服科技股份有限公司 一种威胁文件处置方法、装置及介质

Also Published As

Publication number Publication date
CN112346933B (zh) 2023-03-17

Similar Documents

Publication Publication Date Title
US8301859B2 (en) Automatically adjusting memory of a VM on a power client
US10177970B2 (en) Method and apparatus for controlling database connection
US8782215B2 (en) Performance testing in a cloud environment
CN111796908B (zh) 一种资源自动弹性伸缩的系统、方法及云平台
US20080104608A1 (en) Starting up at least one virtual machine in a physical machine by a load balancer
US9256508B2 (en) Method and apparatus for controlling power in low-power multi-core system
US20130275976A1 (en) Control of java resource runtime usage
US9753846B2 (en) Adjusting the operating memory used by a virtual machine during runtime
US11042410B2 (en) Resource management of resource-controlled system
US11949737B1 (en) Allocation of server resources in remote-access computing environments
US20170251064A1 (en) Method and device for scheduling resources
US10469400B2 (en) Method and apparatus for provisioning of resources to support applications and their varying demands
CN112256383B (zh) 虚拟机的cpu核心数的调整方法、装置、设备及介质
CN111026553A (zh) 离线混部作业的资源调度方法及服务器系统
CN112346933B (zh) 一种恶意文件扫描方法、装置、设备及介质
CN114327881A (zh) 任务调度方法及装置
Desmeurs et al. Event-driven application brownout: Reconciling high utilization and low tail response times
CN112463367A (zh) 一种存储系统性能优化方法、系统及电子设备和存储介质
CN112015326B (zh) 集群数据处理方法、装置、设备及存储介质
CN114466365B (zh) 频谱资源获取方法、装置和计算机可读存储介质
CN110737320B (zh) 耗电量检测方法、装置、电子设备及存储介质
CN105281979A (zh) 一种面向虚拟化应用平台的负载测试方法
US20130276001A1 (en) Information processing apparatus, electrical power control method, and computer product
Huaijun et al. Research and implementation of mobile cloud computing offloading system based on Docker container
CN109408336A (zh) 一种启动项监控方法、装置、终端及计算机可读介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant