CN113836533B - 一种文件监测方法、装置、电子设备及可读存储介质 - Google Patents
一种文件监测方法、装置、电子设备及可读存储介质 Download PDFInfo
- Publication number
- CN113836533B CN113836533B CN202111138809.7A CN202111138809A CN113836533B CN 113836533 B CN113836533 B CN 113836533B CN 202111138809 A CN202111138809 A CN 202111138809A CN 113836533 B CN113836533 B CN 113836533B
- Authority
- CN
- China
- Prior art keywords
- file
- scanned
- killing
- searching
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 127
- 238000000034 method Methods 0.000 title claims abstract description 85
- 238000004590 computer program Methods 0.000 claims description 9
- 238000012806 monitoring device Methods 0.000 claims description 5
- 238000012545 processing Methods 0.000 abstract description 11
- 230000005540 biological transmission Effects 0.000 abstract description 6
- 238000012423 maintenance Methods 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 11
- 238000001514 detection method Methods 0.000 description 4
- 230000002155 anti-virotic effect Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 244000035744 Hura crepitans Species 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 239000000523 sample Substances 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种文件监测方法、装置、电子设备及可读存储介质,该方法包括:获取监测文件;根据查杀任务的文件信息,确定监测文件中的待扫描文件;根据扫描策略,将待扫描文件的扫描信息添加到目标扫描队列;根据目标扫描队列中的扫描信息,利用各查杀引擎查杀各自对应的待扫描文件,获得待扫描文件对应的查杀结果;本发明通过根据目标扫描队列中的扫描信息,利用各查杀引擎查杀各自对应的待扫描文件,获得待扫描文件对应的查杀结果,使各查杀引擎可以通过软链接的方式对待扫描文件进行查杀,避免了待扫描文件的传输过程,提高了文件监测的处理性能,降低了查杀的延时,从而能够利用现有的查杀引擎实现文件监测,降低维护成本。
Description
技术领域
本发明涉及信息安全技术领域,特别涉及一种文件监测方法、装置、电子设备及可读存储介质。
背景技术
目前,传统的文件监测方案如图1所示,如maildetect(邮件侦测)引擎的多个查杀引擎都需要读取filedetect(文件侦测)引擎的文件扫描结果进行特定查杀分析,使得维护成本过高,并且filedetect引擎需要2小时才能得出文件扫描结果,使得查杀引擎要特别的延后2小时才能进行查杀,进度严重滞后,且一天仅能处理1万个文件,处理性能不足。
因此,如何能够提高文件监测的处理性能,降低查杀的延时,是现今急需解决的问题。
发明内容
本发明的目的是提供一种文件监测方法、装置、电子设备及可读存储介质,以提高文件监测的处理性能,降低查杀的延时。
为解决上述技术问题,本发明提供一种文件监测方法,包括:
获取监测文件;
根据查杀任务的文件信息,确定所述监测文件中的待扫描文件;其中,所述待扫描文件为所述查杀任务对应的监测文件;
根据扫描策略,将所述待扫描文件的扫描信息添加到目标扫描队列;其中,所述扫描策略包括所述待扫描文件与查杀引擎的对应关系,所述扫描信息包括所述待扫描文件的软链接和对应的查杀引擎信息;
根据所述目标扫描队列中的扫描信息,利用各所述查杀引擎查杀各自对应的待扫描文件,获得所述待扫描文件对应的查杀结果。
可选的,所述根据扫描策略,将所述待扫描文件的扫描信息添加到目标扫描队列,包括:
根据每个所述查杀任务的扫描策略和优先级,依次将所述待扫描文件的扫描信息添加到当前扫描队列;其中,当前扫描队列为任一所述目标扫描队列。
可选的,该方法还包括:
根据预设API接口接收的任务配置信息,生成所述查杀任务;其中,所述任务配置信息包括指定监测文件目录、扫描策略指定信息和任务ID指定信息中的至少一项。
可选的,所述获得所述待扫描文件对应的查杀结果之后,还包括:
将所述查杀结果存储到数据库,并在预设缓存空间存储所述查杀结果;其中,所述预设缓存空间中存储的查杀结果的数量小于或等于缓存阈值。
可选的,该方法还包括:
记录所述查杀结果的查询次数;
根据所述查询次数和缓存写入时间,对所述预设缓存空间中查杀结果进行调整。
可选的,所述根据查杀任务的文件信息,确定所述监测文件中的待扫描文件,包括:
根据所述查杀任务的文件信息和所述预设缓存空间的统计信息,确定所述监测文件中的待扫描文件;其中,所述统计信息包括所述预设缓存空间的查杀结果对应的文件信息。
可选的,该方法还包括:
接收客户端的结果查询请求;
将所述结果查询请求对应的查杀结果发送到所述客户端。
本发明还提供了一种文件监测装置,包括:
获取模块,用于获取监测文件;
控制模块,用于根据查杀任务的文件信息,确定所述监测文件中的待扫描文件;其中,所述待扫描文件为所述查杀任务对应的监测文件;
队列模块,用于将所述待扫描文件的扫描信息添加到目标扫描队列;其中,所述扫描策略包括所述待扫描文件与查杀引擎的对应关系,所述扫描信息包括所述待扫描文件的软链接和对应的查杀引擎信息;
扫描模块,用于根据所述目标扫描队列中的扫描信息,利用各所述查杀引擎查杀各自对应的待扫描文件,获得所述待扫描文件对应的查杀结果。
本发明还提供了一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述所述的文件监测方法的步骤。
此外,本发明还提供了一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述所述的文件监测方法的步骤。
本发明所提供的一种文件监测方法,包括:获取监测文件;根据查杀任务的文件信息,确定监测文件中的待扫描文件;其中,待扫描文件为查杀任务对应的监测文件;根据扫描策略,将待扫描文件的扫描信息添加到目标扫描队列;其中,扫描策略包括待扫描文件与查杀引擎的对应关系,扫描信息包括待扫描文件的软链接和对应的查杀引擎信息;根据目标扫描队列中的扫描信息,利用各查杀引擎查杀各自对应的待扫描文件,获得待扫描文件对应的查杀结果;
可见,本发明通过根据目标扫描队列中的扫描信息,利用各查杀引擎查杀各自对应的待扫描文件,获得待扫描文件对应的查杀结果,使各查杀引擎可以通过软链接的方式对待扫描文件进行查杀,避免了待扫描文件的传输过程,提高了文件监测的处理性能,降低了查杀的延时,从而能够利用现有的查杀引擎实现文件监测,降低维护成本。此外,本发明还提供了一种文件监测装置、电子设备及可读存储介质,同样具有上述有益效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为现有技术中的文件监测方案的示意图;
图2为本发明实施例所提供的一种文件监测方法的流程图;
图3为本发明实施例所提供的另一种文件监测方法的框架示意图;
图4为本发明实施例所提供的另一种文件监测方法的控制进程的功能示意图;
图5为本发明实施例所提供的另一种文件监测方法的流程图;
图6为本发明实施例所提供的另一种文件监测方法的扫描查杀过程的时序示意图;
图7为本发明实施例所提供的另一种文件监测方法的结果查询过程的时序示意图;
图8为本发明实施例所提供的一种文件监测装置的结构框图;
图9为本发明实施例所提供的一种电子设备的结构示意图;
图10为本实施例提供的一种电子设备的具体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参考图2,图2为本发明实施例所提供的一种文件监测方法的流程图。该方法可以包括:
步骤101:获取监测文件。
其中,本步骤中的监测文件可以为电子设备所监测的文件,如SIP(安全态势感知)设备所监测的SIP文件。
具体的,对于本步骤中电子设备获取监测文件的具体方式,可以由设计人员根据实用场景和用户需求自行设置,如电子设备可以接收文件检测探针上传的文件(即监测文件),例如SIP设备可以接收潜伏威胁探针(STA)检测到的监测文件,如邮件文件(如邮件附件)、DNS(域名系统)文件、HTTP(超文本传输协议)文件、FTP(文件传输协议)文件和SMB(一种协议名)文件等。只要本步骤中电子设备能够获取需要进行监测的监测文件,本实施例对此不做任何限制。
步骤102:根据查杀任务的文件信息,确定监测文件中的待扫描文件;其中,待扫描文件为查杀任务对应的监测文件。
可以理解的是,本步骤中的查杀任务可以为电子设备中所运行的对相应的监测文件进行查杀的任务。本步骤中查杀任务的文件信息可以为查杀任务所需查杀的监测文件的信息,如文件名称和/或文件类型。本步骤中电子设备通过根据查杀任务的文件信息,确定监测文件中的待扫描文件,可以识别每个查杀任务各自对应的待扫描文件,从而对待扫描文件进行扫描查杀,完成查杀任务。
具体的,对于本步骤中电子设备根据根据查杀任务的文件信息,确定监测文件中的待扫描文件的具体方式,可以由设计人员自行设置,如电子设备可以直接将全部监测文件中查杀任务的文件信息对应的监测文件,确定为待扫描文件。电子设备也可以对查杀任务的文件信息对应的监测文件进行过滤,过滤掉已查杀过的监测文件,将查杀任务的文件信息对应的监测文件中的未查杀过的监测文件确定为待扫描文件;例如电子设备利用预设缓存空间存储查杀结果和统计信息时,电子设备可以根据查杀任务的文件信息和预设缓存空间的统计信息,确定监测文件中的待扫描文件;其中,统计信息可以包括预设缓存空间的查杀结果对应的文件信息;对应的,确定的监测文件中的待扫描文件可以为之前未查杀过的文件,即待扫描文件可以不包括预设缓存空间中的文件信息对应的监测文件;如图4所示,本步骤中电子设备可以利用控制进程(Filethreat-c)在预设缓存空间存储统计信息,以实现文件指纹缓存的功能。
步骤103:根据扫描策略,将待扫描文件的扫描信息添加到目标扫描队列;其中,扫描策略包括待扫描文件与查杀引擎的对应关系,扫描信息包括待扫描文件的软链接和对应的查杀引擎信息。
可以理解的是,本步骤中的扫描信息可以为添加到扫描队列中的待扫描文件的信息,扫描信息可以包括待扫描文件的软链接和待扫描文件对应的查杀引擎的信息(即查杀引擎信息),以使步骤104中能够利用目标扫描队列中的扫描信息,使用查杀引擎信息对应的查杀引擎对软链接对应的待扫描文件进行查杀。
对应的,本步骤中的扫描策略可以为包括待扫描文件与查杀引擎的对应关系,如待扫描文件的文件类型与各自对应的查杀引擎的对应关系,使电子设备能够根据待扫描文件的文件类型,确定待扫描文件对应的查杀引擎信息。
具体的,本步骤中的查杀引擎可以为对待扫描文件进行扫描查杀的引擎,如图3中的Clamav(Clam AntiVirus,一个类UNIX系统上使用的反病毒软件包)引擎、Save(一种安全智能检测引擎)引擎、Avira(一种著名杀毒软件)引擎、Sand box引擎(如沙盒系统的深层查杀引擎)和Cloud引擎(如云查杀引擎)等。本步骤中电子设备可以利用待扫描文件的软链接,使各查杀引擎能够通过各自对应的待扫描文件的软链接,查找到本地的相应的待扫描文件并进行异步查杀,从而避免了待扫描文件的传输过程;如图3和图6所示,电子设备可以利用扫描进程(Filethreat-s),使用各查杀引擎对控制进程准备好的目标扫描队列(ready扫描队列)中对应的待扫描文件进行查杀,得到查杀结果。
其中,本步骤中的目标扫描队列可以为空闲的扫描队列,即本步骤中电子设备在确定监测文件中的待扫描文件后,可以将待扫描文件的软链接和对应的查杀引擎信息,添加到空闲的扫描队列,使步骤104中能够直接根据准备好(即添加完成)的扫描队列,利用各查杀引擎查杀各自对应的待扫描文件;如图3和图4所示,电子设备可以利用控制进程,获取空闲的扫描队列(即目标扫描队列);根据扫描策略,将待扫描文件的扫描信息添加到空闲的扫描队列。
步骤104:根据目标扫描队列中的扫描信息,利用各查杀引擎查杀各自对应的待扫描文件,获得待扫描文件对应的查杀结果。
可以理解的是,本步骤中的电子设备可以根据目标扫描队列中的扫描信息,利用待扫描文件的软链接,使各待扫描文件对应的查杀引擎能够通过各自对应的待扫描文件的软链接,查找到本地的相应的待扫描文件并进行异步查杀,从而避免了待扫描文件的传输过程;如图3和图6所示,电子设备可以利用扫描进程(Filethreat-s),使用各查杀引擎对控制进程准备好的目标扫描队列(ready扫描队列)中对应的待扫描文件进行查杀,得到查杀结果。
对应的,本实施例中电子设备在获得待扫描文件对应的查杀结果之后,可以将查杀结果存储到数据库,如ES(Elasticsearch,一种实时的分布式搜索分析引擎)数据库,以方便后续查询的查杀结果。进一步的,本实施例中电子设备可以在获得待扫描文件对应的查杀结果之后,将查杀结果存储到数据库(如ES数据库),并在预设缓存空间存储查杀结果,以通过对查杀结果的缓存,提高后续查询的查杀结果的速度;其中,预设缓存空间中存储的查杀结果的数量小于或等于缓存阈值(如10万)。
具体的,如图3所示,本实施例中电子设备可以利用管理进程(Filethreat-m)创建并监控扫描进程和控制进程;利用控制进程,对外提供RPC(远程过程调用协议)接口,控制并组织待扫描文件,传递给扫描进程;利用扫描进程针对控制进程指定的待扫描文件,扫描并利用查杀引擎进行查杀,并保存查杀结果;利用API接口,供客户端的app查询文件的查杀结果,供外部查询统计信息等。
本实施例中,本发明实施例根据目标扫描队列中的扫描信息,利用各查杀引擎查杀各自对应的待扫描文件,获得待扫描文件对应的查杀结果,使各查杀引擎可以通过软链接的方式对待扫描文件进行查杀,避免了待扫描文件的传输过程,提高了文件监测的处理性能,降低了查杀的延时,从而能够利用现有的查杀引擎实现文件监测,降低维护成本。
基于上述实施例,请参考图5,图5为本发明实施例所提供的另一种文件监测方法的流程图。该方法可以包括:
步骤201:获取监测文件。
其中,本步骤与步骤101相似,在此不再赘述。
步骤202:根据查杀任务的文件信息和预设缓存空间的统计信息,确定监测文件中的待扫描文件;其中,统计信息包括预设缓存空间的查杀结果对应的文件信息。
其中,本步骤中电子设备可以根据查杀任务的文件信息和预设缓存空间中存储的已获得查杀结果的监测文件的文件信息,滤除查杀任务的文件信息对应的监测文件中已查杀的监测文件(如相同文件名的监测文件),得到未查杀过的监测文件(即待扫描文件),即待扫描文件中可以不包括预设缓存空间中的文件信息对应的监测文件,从而避免对相同监测文件的多次查杀。
例如,电子设备可以利用控制进程,通过查杀任务的文件信息与预设缓存空间的统计信息的比较,将查杀任务的文件信息对应的监测文件中未查杀过的监测文件确定为待扫描文件。
步骤203:根据扫描策略,将待扫描文件的扫描信息添加到目标扫描队列;其中,扫描策略包括待扫描文件与查杀引擎的对应关系,扫描信息包括待扫描文件的软链接和对应的查杀引擎信息。
具体的,对于本步骤中电子设备根据扫描策略,将待扫描文件的扫描信息添加到目标扫描队列的具体方式,可以由设计人员自行设置,如电子设备可以直接根据预设的一种扫描策略,确定全部查杀任务的待扫描文件对应的查杀引擎信息,并将待扫描文件的扫描信息添加到目标扫描队列;例如电子设备可以利用控制进程,根据预设的扫描策略,将待扫描文件的扫描信息添加到目标扫描队列。电子设备也可以根据每个查杀任务各自对应的扫描策略,确定各查杀任务的待扫描文件各自对应的查杀引擎信息,并将待扫描文件的扫描信息添加到目标扫描队列;例如电子设备可以利用控制进程,根据查杀任务各自对应的扫描策略,将待扫描文件的扫描信息添加到目标扫描队列。
进一步的,本步骤中电子设备可以根据扫描策略和优先级,依次将待扫描文件的扫描信息添加到当前扫描队列,以使步骤204中按照优先级对待扫描文件进行查杀,保证优先级高的待扫描文件能够优先进行查杀;其中,当前扫描队列可以为任一目标扫描队列。对应的,当前扫描队列中存储的扫描信息的数量可以小于或等于队列阈值(如图6中的300),当前扫描队列中的扫描信息对应的优先级可以大于或等于未添加到目标扫描队列的扫描信息对应的优先级。如图6所示,电子设备可以利用控制进程,按照优先级和扫描策略,依次将待扫描文件的扫描信息添加到空闲的扫描队列(即目标扫描队列);从而利用扫描进程,依次对添加好的扫描队列(ready扫描队列)进行查杀,使优先级高的待扫描文件能够优先进行查杀。
具体的,对于上述优先级的具体设置,可以由设计人员根据实用场景和用户需求,如优先级可以与查杀任务相对应,例如本步骤中电子设备可以利用控制进程根据每个查杀任务的扫描策略和优先级,依次将待扫描文件的扫描信息添加到当前扫描队列,以使优先级高的查杀任务对应的待扫描文件能够优先进行查杀;优先级也可以与每个查杀任务相对应,例如优先级与查杀任务的文件类型相对应时,例如本步骤中电子设备可以利用控制进程根据每个查杀任务的扫描策略和不同文件类型对应的优先级,依次将待扫描文件的扫描信息添加到当前扫描队列,以使优先级高的文件类型的待扫描文件能够优先进行查杀。
步骤204:根据目标扫描队列中的扫描信息,利用各查杀引擎查杀各自对应的待扫描文件,获得待扫描文件对应的查杀结果。
其中,本步骤中电子设备可以电子设备可以使用目标扫描队列中扫描信息中的查杀引擎信息对应的查杀引擎,对该扫描信息中的软链接对应的待扫描文件进行查杀,得到该待扫描文件对应的查杀结果。如图5所示,电子设备可以利用扫描进程,根据目标扫描队列中的扫描信息,利用各查杀引擎查杀各自对应的待扫描文件,获得待扫描文件对应的查杀结果。
具体的,本实施例并不限定步骤203和步骤204的逻辑先后顺序,如本实施例中可以先进行完成步骤203再进行步骤204,例如电子设备可以将全部待扫描文件分别添加到各自对应的目标扫描队列后,在进入步骤204对全部目标扫描队列对应的待扫描文件进行查杀;本实施例中也可以在步骤203的过程中,进行步骤204,例如电子设备每添加完成一个目标扫描队列后,可以进入步骤204,对该目标扫描队列对应的待扫描文件进行查杀,而在该目标扫描队列对应的待扫描文件进行查杀的过程中或之后,步骤203可以继续添加下一个目标扫描队列。
步骤205:将查杀结果存储到数据库,并在预设缓存空间存储查杀结果;其中,预设缓存空间中存储的查杀结果的数量小于或等于缓存阈值。
可以理解的是,本步骤中电子设备可以将待扫描文件对应的查杀结果存储到数据库(如ES数据库),以使后续能够从数据库中搜索到已查杀完成的待扫描文件的查杀结果;并且电子设备利用预设缓存空间对缓存阈值(如图6中的10万)内的待扫描文件对应的查杀结果进行缓存,从而能够利用预设缓存空间中缓存的查杀结果,能够直接查找到缓存的已查杀完成的待扫描文件的查杀结果,减少了RS数据库的搜索次数,提高了查杀结果的搜索速度。
具体的,如图6所示,本步骤中电子设备可以利用扫描进程,将得到的待扫描文件对应的查杀结果写入ES数据库存储,并调用相应的API(应用程序接口),将待扫描文件对应的查杀结果返回给控制进程,以使控制进程可以在预设缓存空间中缓存待扫描文件对应的查杀结果,
进一步的,为了保证预设缓存空间中缓存的查杀结果实用性,本实施例中电子设备根据各查杀结果的查询次数,调整预设缓存空间中的查杀结果;如电子设备可以记录预设缓存空间中的各查杀结果的查询次数,如在预设缓存空间的统计信息中记录各查杀结果的查询次数,即统计信息还可以包括各查杀结果的查询次数,从而根据记录的查询次数和预设缓存空间中的查杀结果的缓存写入时间或最新查询时间,对预设缓存空间中查杀结果进行调整,以淘汰掉预设缓存空间中查询次数少且长久不使用的查杀结果。
本实施例中,本发明实施例利用预设缓存空间对查杀结果和统计信息的缓存,减少对同一监测文件进行多次查杀的情况,提高了后续查杀结果的查询的搜索速度。
基于上述实施例,本实施所提供的文件监测方法还可以包括:查杀任务的生成过程。具体的,电子设备可以利用预先设置的API接口(即预设API接口),接收客户端发送的任务配置信息;从而根据预设API接口接收的任务配置信息,生成查杀任务;其中,任务配置信息包括指定监测文件目录、扫描策略指定信息和任务ID指定信息中的至少一项。
如图6所示,电子设备可以利用控制进程,根据API接口传输的客户端的用户指定的指定监测文件目录(dir)、扫描策略指定信息和任务ID(taskid)指定信息等任务配置信息,生成查杀任务。
基于上述实施例,本实施所提供的文件监测方法还可以包括:查杀结果的搜索查询过程。具体的,电子设备可以接收客户端的结果查询请求;将结果查询请求对应的查杀结果发送到客户端。例如,电子设备可以利用预设API接口接收客户端发送的对监测文件的查杀结果的查询请求(即结果查询请求);根据结果查询请求,按预设时间间隔查询预设缓存空间和/或数据库(如ES数据库),得到结果查询请求对应的查杀结果;通过预设API接口,将结果查询请求对应的查杀结果发送到客户端。
如图7所示,电子设备可以利用预设API接口,根据客户端的app发送的结果查询请求,设置循环处理record和回调函数;通过循环处理record,按预设时间间隔查询数据库中结果查询请求对应的查杀结果;若未查询到该查杀结果,则等待下一预设时间的查询;若查询到该查杀结果,则通过回调函数,将该查杀结果发送到客户端。对应的,通过循环处理record,按预设时间间隔依次查询预设缓存空间和数据库,以在预设缓存空间存在结果查询请求对应的查杀结果时,直接返回预设缓存空间中的查杀结果,减少数据库的查询过程。
进一步的,本申请中电子设备可以在结果查询请求对应的监测文件的查询数量超过查询阈值时,按照结果查询请求对应的查杀结果的查杀时间(如缓存时间),将查杀时间更新的查询阈值的查杀结果发送到客户端,从而较旧的查杀结果,尽可能保证用户最新的查杀需求。如图7所示,电子设备可以利用预设API接口,在结果查询请求对应的监测文件的查询数量超过查询阈值时,丢弃较旧的监测文件的查杀结果。
进一步的,本申请中电子设备可以利用预设API接口接收客户端发送的结果查询请求对应的停止指令,保存该结果查询请求对应的保留监测文件的文件信息;其中,保留监测文件可以为结果查询请求对应的监测文件中未查询到相应的查杀结果的监测文件;以便后续能够直接继续查询保留监测文件的查杀结果。如图7所示,客户端中查询查杀结果的进程退出时,可以向预设API接口发送停止指令,以使预设API接口能够保存之前接收的结果查询请求对应的保留监测文件的文件信息。
对应的,本申请中电子设备可以利用预设API接口接收客户端发送的结果查询请求对应的启动指令,根据保存的该结果查询请求对应的保留监测文件的文件信息,对保留监测文件的查杀结果进行查询。如图7所示,客户端中查询查杀结果的进程启动时,可以向预设API接口发送启动指令,以使预设API接口能够加载保存的之前接收的结果查询请求对应的保留监测文件的文件信息,继续对保留监测文件的查杀结果进行查询。
相应于上面的方法实施例,本发明实施例还提供了一种文件监测装置,下文描述的文件监测装置与上文描述的文件监测方法可相互对应参照。
请参考图8,图8为本发明实施例所提供的一种文件监测装置的结构框图。该装置可以包括:
获取模块10,用于获取监测文件;
控制模块20,用于根据查杀任务的文件信息,确定监测文件中的待扫描文件;其中,待扫描文件为查杀任务对应的监测文件;
队列模块30,用于将待扫描文件的扫描信息添加到目标扫描队列;其中,扫描策略包括待扫描文件与查杀引擎的对应关系,扫描信息包括待扫描文件的软链接和对应的查杀引擎信息;
扫描模块40,用于根据目标扫描队列中的扫描信息,利用各查杀引擎查杀各自对应的待扫描文件,获得待扫描文件对应的查杀结果。
可选的,队列模块30可以具体用于根据每个查杀任务的扫描策略和优先级,依次将待扫描文件的扫描信息添加到当前扫描队列;其中,当前扫描队列为任一目标扫描队列,当前扫描队列中存储的扫描信息的数量小于或等于队列阈值,当前扫描队列中的扫描信息对应的优先级大于或等于未添加到目标扫描队列的扫描信息对应的优先级。
可选的,该装置还可以包括:
任务生成模块,用于根据预设API接口接收的任务配置信息,生成查杀任务;其中,任务配置信息包括指定监测文件目录、扫描策略指定信息和任务ID指定信息中的至少一项。
可选的,该装置还可以包括:
存储模块,用于将查杀结果存储到数据库,并在预设缓存空间存储查杀结果;其中,预设缓存空间中存储的查杀结果的数量小于或等于缓存阈值。
可选的,该装置还可以包括:
记录模块,用于记录查杀结果的查询次数;
缓存调整模块,用于根据查询次数和缓存写入时间,对预设缓存空间中查杀结果进行调整。
可选的,控制模块20可以具体用于根据查杀任务的文件信息和预设缓存空间的统计信息,确定监测文件中的待扫描文件;其中,统计信息包括预设缓存空间的查杀结果对应的文件信息。
可选的,该装置还可以包括:
请求接收模块,用于接收客户端的结果查询请求;
结果返回模块,用于将结果查询请求对应的查杀结果发送到客户端。
本实施例中,本发明实施例通过扫描模块40根据目标扫描队列中的扫描信息,利用各查杀引擎查杀各自对应的待扫描文件,获得待扫描文件对应的查杀结果,使各查杀引擎可以通过软链接的方式对待扫描文件进行查杀,避免了待扫描文件的传输过程,提高了文件监测的处理性能,降低了查杀的延时,从而能够利用现有的查杀引擎实现文件监测,降低维护成本。
相应于上面的方法实施例,本发明实施例还提供了一种电子设备,下文描述的一种电子设备与上文描述的一种文件监测方法可相互对应参照。
请参考图9,图9为本发明实施例所提供的一种电子设备的结构示意图。该电子设备可以包括:
存储器D1,用于存储计算机程序;
处理器D2,用于执行计算机程序时实现上述方法实施例所提供的文件监测方法的步骤。
具体的,请参考图10,图10为本实施例提供的一种电子设备的具体结构示意图,该电子设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processing units,CPU)322(例如,一个或一个以上处理器)和存储器332,一个或一个以上存储应用程序342或数据344的存储介质330(例如一个或一个以上海量存储设备)。其中,存储器332和存储介质330可以是短暂存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对电子设备中的一系列指令操作。更进一步地,中央处理器322可以设置为与存储介质330通信,在电子设备310上执行存储介质330中的一系列指令操作。
电子设备310还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作系统341。例如,Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等。
其中,电子设备310可以具体为SIP设备。
上文所描述的文件监测方法中的步骤可以由电子设备的结构实现。
相应于上面的方法实施例,本发明实施例还提供了一种可读存储介质,下文描述的一种可读存储介质与上文描述的一种文件监测方法可相互对应参照。
一种可读存储介质,可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述方法实施例所提供的文件监测方法的步骤。
该可读存储介质具体可以为U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可存储程序代码的可读存储介质。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置、电子设备及可读存储介质而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
以上对本发明所提供的一种文件监测方法、装置、电子设备及可读存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (9)
1.一种文件监测方法,其特征在于,包括:
获取监测文件;
根据查杀任务的文件信息和预设缓存空间的统计信息,确定所述监测文件中的待扫描文件;其中,所述待扫描文件为所述查杀任务对应的监测文件;所述统计信息包括所述预设缓存空间的查杀结果对应的文件信息,对应的,确定所述监测文件中的待扫描文件为不包括所述预设缓存空间中的文件信息对应的监测文件;
根据扫描策略,将所述待扫描文件的扫描信息添加到目标扫描队列;其中,所述扫描策略包括所述待扫描文件与查杀引擎的对应关系,所述扫描信息包括所述待扫描文件的软链接和对应的查杀引擎信息;
根据所述目标扫描队列中的扫描信息,利用各所述查杀引擎通过各自对应的所述待扫描文件的软链接,查找本地的相应的待扫描文件进行异步查杀各自对应的待扫描文件,获得所述待扫描文件对应的查杀结果。
2.根据权利要求1所述的文件监测方法,其特征在于,所述根据扫描策略,将所述待扫描文件的扫描信息添加到目标扫描队列,包括:
根据每个所述查杀任务的扫描策略和优先级,依次将所述待扫描文件的扫描信息添加到当前扫描队列,以按照所述优先级对各所述查杀任务对应的待扫描文件进行查杀;其中,当前扫描队列为任一所述目标扫描队列。
3.根据权利要求1所述的文件监测方法,其特征在于,还包括:
根据预设API接口接收的任务配置信息,生成所述查杀任务;其中,所述任务配置信息包括指定监测文件目录、扫描策略指定信息和任务ID指定信息中的至少一项。
4.根据权利要求1至3任一项所述的文件监测方法,其特征在于,所述获得所述待扫描文件对应的查杀结果之后,还包括:
将所述查杀结果存储到数据库,并在预设缓存空间存储所述查杀结果;其中,所述预设缓存空间中存储的查杀结果的数量小于或等于缓存阈值。
5.根据权利要求4所述的文件监测方法,其特征在于,还包括:
记录所述查杀结果的查询次数;
根据所述查询次数和缓存写入时间,对所述预设缓存空间中查杀结果进行调整。
6.根据权利要求4所述的文件监测方法,其特征在于,还包括:
接收客户端的结果查询请求;
将所述结果查询请求对应的查杀结果发送到所述客户端。
7.一种文件监测装置,其特征在于,包括:
获取模块,用于获取监测文件;
控制模块,用于根据查杀任务的文件信息和预设缓存空间的统计信息,确定所述监测文件中的待扫描文件;其中,所述待扫描文件为所述查杀任务对应的监测文件;所述统计信息包括所述预设缓存空间的查杀结果对应的文件信息,对应的,确定所述监测文件中的待扫描文件为不包括所述预设缓存空间中的文件信息对应的监测文件;
队列模块,用于根据扫描策略,将所述待扫描文件的扫描信息添加到目标扫描队列;其中,所述扫描策略包括所述待扫描文件与查杀引擎的对应关系,所述扫描信息包括所述待扫描文件的软链接和对应的查杀引擎信息;
扫描模块,用于根据所述目标扫描队列中的扫描信息,利用各所述查杀引擎通过各自对应的所述待扫描文件的软链接,查找本地的相应的待扫描文件进行异步查杀各自对应的待扫描文件,获得所述待扫描文件对应的查杀结果。
8.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至6任一项所述的文件监测方法的步骤。
9.一种可读存储介质,其特征在于,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的文件监测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111138809.7A CN113836533B (zh) | 2021-09-27 | 2021-09-27 | 一种文件监测方法、装置、电子设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111138809.7A CN113836533B (zh) | 2021-09-27 | 2021-09-27 | 一种文件监测方法、装置、电子设备及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113836533A CN113836533A (zh) | 2021-12-24 |
| CN113836533B true CN113836533B (zh) | 2024-05-24 |
Family
ID=78970653
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111138809.7A Active CN113836533B (zh) | 2021-09-27 | 2021-09-27 | 一种文件监测方法、装置、电子设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113836533B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117056926B (zh) * | 2023-10-09 | 2024-01-26 | 深圳安天网络安全技术有限公司 | 一种文件检测系统、电子设备及存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6802012B1 (en) * | 2000-10-03 | 2004-10-05 | Networks Associates Technology, Inc. | Scanning computer files for unwanted properties |
| CN101304426A (zh) * | 2008-07-10 | 2008-11-12 | 腾讯科技(深圳)有限公司 | 一种可疑文件的识别上报方法和装置 |
| CN102194073A (zh) * | 2011-06-03 | 2011-09-21 | 奇智软件(北京)有限公司 | 一种杀毒软件的扫描方法及装置 |
| WO2013044716A1 (zh) * | 2011-09-30 | 2013-04-04 | 腾讯科技(深圳)有限公司 | 多引擎病毒查杀方法和设备 |
| CN103679021A (zh) * | 2012-09-17 | 2014-03-26 | 腾讯科技(深圳)有限公司 | 病毒扫描方法及病毒扫描装置 |
| CN104318160A (zh) * | 2014-10-29 | 2015-01-28 | 北京奇虎科技有限公司 | 查杀恶意程序的方法和装置 |
| CN105791233A (zh) * | 2014-12-24 | 2016-07-20 | 华为技术有限公司 | 一种防病毒扫描方法及装置 |
| CN107766508A (zh) * | 2017-10-23 | 2018-03-06 | 深圳市中润四方信息技术有限公司 | 一种数据文件采集分发的方法、系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080168024A1 (en) * | 2007-01-05 | 2008-07-10 | Jeremy Petty | Document mangement system, method of document management and computer readable medium |
| US20150020203A1 (en) * | 2011-09-19 | 2015-01-15 | Beijing Qihoo Technology Company Limited | Method and device for processing computer viruses |
| CN104980309B (zh) * | 2014-04-11 | 2018-04-20 | 北京奇安信科技有限公司 | 网站安全检测方法及装置 |
| US11288391B2 (en) * | 2019-09-13 | 2022-03-29 | EMC IP Holding Company LLC | Filename-based malware pre-scanning |
-
2021
- 2021-09-27 CN CN202111138809.7A patent/CN113836533B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6802012B1 (en) * | 2000-10-03 | 2004-10-05 | Networks Associates Technology, Inc. | Scanning computer files for unwanted properties |
| CN101304426A (zh) * | 2008-07-10 | 2008-11-12 | 腾讯科技(深圳)有限公司 | 一种可疑文件的识别上报方法和装置 |
| CN102194073A (zh) * | 2011-06-03 | 2011-09-21 | 奇智软件(北京)有限公司 | 一种杀毒软件的扫描方法及装置 |
| WO2013044716A1 (zh) * | 2011-09-30 | 2013-04-04 | 腾讯科技(深圳)有限公司 | 多引擎病毒查杀方法和设备 |
| CN103034805A (zh) * | 2011-09-30 | 2013-04-10 | 腾讯科技(深圳)有限公司 | 多引擎病毒查杀方法和装置 |
| CN103679021A (zh) * | 2012-09-17 | 2014-03-26 | 腾讯科技(深圳)有限公司 | 病毒扫描方法及病毒扫描装置 |
| CN104318160A (zh) * | 2014-10-29 | 2015-01-28 | 北京奇虎科技有限公司 | 查杀恶意程序的方法和装置 |
| CN105791233A (zh) * | 2014-12-24 | 2016-07-20 | 华为技术有限公司 | 一种防病毒扫描方法及装置 |
| CN107766508A (zh) * | 2017-10-23 | 2018-03-06 | 深圳市中润四方信息技术有限公司 | 一种数据文件采集分发的方法、系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113836533A (zh) | 2021-12-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11513846B1 (en) | Distributed data acquisition, indexing and search system | |
| US7107406B2 (en) | Method of prefetching reference objects using weight values of referrer objects | |
| US9015269B2 (en) | Methods and systems for notifying a server with cache information and for serving resources based on it | |
| US8224964B1 (en) | System and method of accessing a document efficiently through multi-tier web caching | |
| CN110109953B (zh) | 一种数据查询方法、装置及设备 | |
| US8788475B2 (en) | System and method of accessing a document efficiently through multi-tier web caching | |
| US20150237113A1 (en) | Method and system for file transmission | |
| US9064013B1 (en) | Application of resource limits to request processing | |
| CN110417903B (zh) | 一种基于云计算的信息处理方法和系统 | |
| CN113836533B (zh) | 一种文件监测方法、装置、电子设备及可读存储介质 | |
| CN109905479B (zh) | 文件传输方法和装置 | |
| CN107665235B (zh) | 缓存处理方法、装置、计算机设备和存储介质 | |
| WO2021197392A1 (zh) | 任务队列生成 | |
| RU2738447C1 (ru) | Способ кэширования видео и устройство кэширования видео | |
| CN108989471A (zh) | 网络系统中日志的管理方法和装置 | |
| CN108519987A (zh) | 一种数据持久化方法和装置 | |
| JP2002525749A (ja) | インターネットキャッシングシステム、方法およびそのシステムの構成 | |
| CN104113599A (zh) | 一种缓存方法、装置及代理服务器 | |
| CN112866339B (zh) | 数据传输方法、装置、计算机设备和存储介质 | |
| CN108520052B (zh) | 慢查询信息检索方法、装置、服务器及可读存储介质 | |
| CN112039936B (zh) | 数据传输方法、第一数据处理设备及监控系统 | |
| US8566521B2 (en) | Implementing cache offloading | |
| CN116909862A (zh) | 异常日志的收集方法及装置、电子设备、存储介质 | |
| CN113839952B (zh) | 一种日志访问关系的威胁追踪方法、装置及电子设备 | |
| KR102382328B1 (ko) | 사물 인터넷 환경에서 다중 규칙 간 데이터 공유에 기반하는 스케줄링 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant |