WO2013091159A1

WO2013091159A1 - 变频杀毒技术

Info

Publication number: WO2013091159A1
Application number: PCT/CN2011/084212
Authority: WO
Inventors: 郝晓军
Original assignee: 北京瑞星信息技术有限公司
Priority date: 2011-12-19
Filing date: 2011-12-19
Publication date: 2013-06-27
Also published as: US20140351936A1

Abstract

一种变频杀毒技术，其涉及用于动态调整在用户设备上运行的安全防护软件所占用的系统资源量的方法和装置。该方法包括以下步骤：安全防护软件收集与所述用户设备有关的状态信息；根据所述状态信息，计算所述安全防护软件的期望的运行强度；以及根据计算出的所述期望的运行强度来运行所述安全防护软件，从而调整所述安全防护软件占用的系统资源量。该装置可以包括用于分别执行上述各个步骤的模块。通过使用上述方法和装置，可以对安全防护软件的运行策略进行动态调整以更合理地在用户设备的各个软件之间分配系统资源，从而提高系统资源的使用效率，改善用户的使用体验。

Description

变频杀毒技术

技术领域

本申请涉及用户设备安全防护领域，更具体地，涉及对用户设备上的安全防护软件的运行策略进行动态调整的技术。背景技术

随着信息产业的飞速发展，服务于用户的各种设备（例如，服务器、台式计算机、笔记本电脑、上网本、手机、 PDA、电子书等）得到广泛的应用。在这些设备上可以安装大量的各种类型的软件，以满足用户的各种需求，这些软件例如可以包括操作系统、诸如 Microsoft Office之类的办公软件、各种娱乐软件、安全防护软件（例如，病毒查 /杀软件）、文件传输软件、等等，而其中的安全防护软件正变得愈发重要。

安全防护软件主要用于计算机病毒的查 /杀等。计算机病毒是编制的或者在计算机程序中插入的破坏用户设备功能的数据，其会影响用户设备的正常使用并且能够自我复制，其通常以一组计算机指令或者程序代码的形式呈现。计算机病毒具有破坏性、复制性和传染性的特点，其极大地损害了用户设备的安全性。特别是随着网络的迅速普及，使得病毒的传播速度越来越快，范围越来越广。因此，在用户设备开机时通常需要始终运行安全防护软件以保护该用户设备的安全。在现有技术中，安全防护软件通常通过遍历系统中的所有文件，并用已有的病毒特征码和文件进行比对，如果发现文件能够匹配，则说明该文件包含计算机病毒，安全防护软件会根据情况对该文件执行清除或者删除操作。但随着存储技术的发展，用户设备上包含的文件越来越多，因此对应的查 /杀时间也就越来越长。另外，由于计算机病毒广泛应用了加密、压缩、自复制等技术，因此对计算机病毒的检测和处理往往需要进行大规模的数据运算。上述情形导致在用户设备上运行安全防护软件期间会消耗较大数量的系统资源。

通常情况下，除了安全防护软件之外，在用户设备中还会同时运行一个或多个其他软件（例如，办公软件），因此，在安全防护软件与这些其他软件之间会存在对用户设备的各类系统资源（例如，处理器、存储器、带宽等）的竞争。由于用户设备的系统资源总是有限的，因此，如果对这些竞争不加干涉，可能会对用户的正常使用造成负面影响，从而影响用户体验。例如，如果用户目前希望使用文本输入软件进行文本输入，但可能会因为安全防护软件占用了大量的系统资源而使得用户不能流畅地完成该文本输入。因此，在本领域中希望具有一种可对安全防护软件的运行策略进行动态调整的技术，以更合理地在用户设备的各个软件之间分配系统资源，从而提高系统资源的使用效率，改善用户的使用体验。发明内容

本发明的主要目的是提供一种能够根据与用户设备有关的状态信息而动态调整安全防护软件所占用的系统资源量的方法和装置。

本发明的一个方面可以涉及一种用于动态调整在用户设备上运行的安全防护软件所占用的系统资源量的方法，该方法包括以下步骤：所述安全防护软件收集与所述用户设备有关的状态信息；根据所述状态信息，计算所述安全防护软件的期望的运行强度；以及根据计算出的所述期望的运行强度来运行所述安全防护软件，从而调整所述安全防护软件占用的系统资源量。

优选地，所述状态信息包括：所述用户设备的用户执行的操作的时间、类型、次数和 /或频率；和 /或所述用户设备的软件环境信息和 /或硬件环境信息。

优选地，从驱动层直接获取所述用户执行的操作，以避免与在所述用户设备上运行的其他软件冲突。

优选地，所述软件环境信息和 /或硬件环境信息包括以下各种信息中的至少一种：所述用户设备的内存大小、所述用户设备的内存使用状况、所述用户设备的处理器速度、所述用户设备的处理器使用状况、所述用户设备当前正在运行的进程信息、所述用户设备当前的网络连接状况、所述用户设备当前的带宽使用状况、所述用户设备的输入设备的使用状况。

优选地，上述方法还包括：如果所述网络连接状况属于按流量计费，则降低与所述安全防护软件有关的各种网络请求数据量。

优选地，所述状态信息包括当前和 /或过去一段时间内的状态信息。优选地，所述运行强度包括所述安全防护软件的线程的工作频率。优选地，不对所述运行强度设置有限数量的固定级别，实现无级别运行强度调节。

优选地，在所述安全防护软件的运行强度变大时采用渐变的策略，在所述安全防护软件的运行强度变小时采用突变的策略。

本发明的另一个方面可以涉及一种用于动态调整在用户设备上运行的安全防护软件所占用的系统资源量的装置，该装置包括以下模块：用于使所述安全防护软件收集与所述用户设备有关的状态信息的模块；用于根据所述状态信息，计算所述安全防护软件的期望的运行强度的模块；以及用于根据计算出的所述期望的运行强度来运行所述安全防护软件，从而调整所述安全防护软件占用的系统资源量的模块。

优选地，所述装置还包括：用于如果所述网络连接状况属于按流量计费，则降低与所述安全防护软件有关的各种网络请求数据量的模块。

通过采用本发明的上述的方法或装置，可以更合理地在用户设备的各个软件之间分配系统资源，从而提高系统资源的使用效率，改善用户的使用体验。附图说明

参考附图详细描述了本发明，应当理解，附图以及相应的描述应当被理解为是说明性的而非限制性的，其中：

图 1示出了根据本发明的一个实施例的用户设备；

图 2示出了根据本发明的一个实施例的用于动态调整安全防护软件的运行策略的方法；

图 3示出了根据本发明的一个实施例的用于动态调整安全防护软件的运行策略的装置。

图 4示出了根据本发明的另一个实施例的用于动态调整安全防护软件的运行策略的方法；

图 5示出了根据本发明的另一个实施例的用于动态调整安全防护软件的运行策略的装置。具体实施方式

下面通过具体实施方式来更详细地描述本发明，应该意识到，这些详细描述只是为了使得本发明更易于理解，并不用于限制本发明。

图 1 示出了根据本发明的一个实施例的用户设备 100。在该用户设备 100上运行着安全防护软件 102，同时，在该用户设备 100上还可以同时运行着一个或多个其他软件，在图 1 中仅示例性地示出了一个文本输入软件 101。由于文本输入软件 101与安全防护软件 102具有不同的特性并用于满足不同的用户需求，因此使得能够对安全防护软件 102 的运行策略进行动态调整，以更合理地在文本输入软件 101与安全防护软件 102之间分配系统资源，从而提高系统资源的使用效率，改善用户的使用体验。

例如，在图 1所示的实施例中，当用户在用户设备 100上运行文本输入软件 101 以进行文本输入时，通常要求该文本输入软件 101能够快速地进行响应（例如，在用户设备 100的屏幕上迅速显示用户刚才输入的内容）。而现有技术中的安全防护软件都是使用固定速率来处理文件，这样可能会使得在用户进行文本输入时，由于当前正在用户设备上运行的安全防护软件占用了大量的系统资源，因此用户会感觉到用户设备的处理速度很慢，不能流畅地完成文本输入。因此，在现有技术中，用户可能不得不花费更长的时间来完成文本输入，或者需要手动地暂停或关闭安全防护软件，但这会使得用户设备陷入被病毒感染的风险。甚至在某些要求高度安全性的环境下，并不允许普通用户暂停或关闭安全防护软件。而在另一方面，当用户不使用设备或者仅对设备进行少量操作时，由于安全防护软件同样执行固定速率的处理，因此不能充分利用用户设备的空闲的系统资源。

而根据本发明，安全防护软件 102可以根据与用户设备有关的状态信息计算出其期望的运行强度，并基于该期望的运行强度来运行，从而调整其所占用的系统资源量。例如，当图 1 中的安全防护软件 102检测到用户正在使用键盘进行文本输入和 /或检测到其自身占用了过多的系统资源时，其可以降低其自身的运行强度（例如，降低病毒扫描频率），从而降低其占用的系统资源量，以便不影响用户的文本输入操作。这样的话，对于用户而言，其不需要手动地进行任何其他调整或设置操作，就能够流畅地完成文本输入。而在另一方面，当安全防护软件 102检测到用户不再对用户设备进行操作时，其可以提高其运行强度（例如，提高病毒扫描频率）。因此，从稍长的一段周期来看，由于安全防护软件 102在用户设备空闲时提高了运行强度，因此其仍可以很好地保证用户设备的安全性。

尽管图 1 中以一个文本输入软件 101为例进行了说明，但本领域技术人员显然可以意识到，本发明同样可以适用于其他类型的一个或多个软件。

图 2示出了根据本发明的一个实施例的用于动态调整安全防护软件的运行策略的方法。

根据该方法，在步骤 201，安全防护软件收集与用户设备有关的状态信息。该状态信息可以是用户设备的当前和 /或过去一段时间内的状态信息。该状态信息例如可以包括用户设备的软件和 /或硬件环境信息，该软件和 / 或硬件环境信息例如但不限于：所述用户设备的内存大小、所述用户设备的内存使用状况、所述用户设备的处理器速度、所述用户设备的处理器使用状况、所述用户设备当前正在运行的进程信息、所述用户设备当前的网络连接状况、所述用户设备当前的带宽使用状况、所述用户设备的输入设备的使用状况。该状态信息还可以包括用户执行的操作的时间、类型、次数和 /或频率等。该用户执行的操作可通过诸如键盘、鼠标、游戏手柄之类的输入设备进行输入。

在步骤 202，根据所述状态信息，计算所述安全防护软件的期望的运行强度。该运行强度可以是所述安全防护软件的线程的工作频率，例如，与扫描服务相关的线程的扫描频率等。另外，可以不对所述运行强度人为设置有限数量的固定级别，以实现无级别运行强度调节，也即，实现连续而非离散的运行强度调节。

根据不同的状态信息，该安全防护软件可以计算得出其自身的不同的期望的运行强度。例如，如果所述状态信息显示用户设备的硬件配置较低或者显示用户设备的处理器、内存或带宽空闲较少，一般可以期望安全防护软件以更低的运行强度运行；如果所述状态信息显示用户当前或近期对设备进行了较多操作，一般可以期望安全防护软件以更低的运行强度运行；在与上述各种情形相反的情况下，一般可以期望安全防护软件以更高的运行强度运行。

应当理解，上述各种情形仅仅是一些简单示例，实现了本发明方法的安全防护软件可以综合考虑各种状态信息来计算其期望的运行强度。例如，当用户设备在执行大规模计算（例如，视频处理、渲染、大规模文件操作、高清视频播放、编译等）的时候，即使用户的操作很少，但是也需要使用较多的系统资源。此时通过采集的进程相关数据、内存相关数据、处理器相关数据或带宽相关数据，可以从另外一个侧面反映用户设备的实际使用情况。然后，可以根据这些数据相应地调低安全防护软件的运行强度，而避免仅仅根据某一项状态信息（例如，用户仅执行很少操作）而不合适地调高其运行强度。

应当理解，取决于实际具体情形的不同，可以根据与用户设备有关的状态信息以不同的算法或策略得出安全防护软件的期望的运行强度，而不应局限于上述具体示例。

在步骤 203，根据计算出的所述期望的运行强度来运行所述安全防护软件，从而调整所述安全防护软件占用的系统资源量。例如，安全防护软件可以根据计算出的由变频参数表征的运行强度来进行运行，以智能地降低或提高与扫描服务相关的工作线程的扫描频率，从而调节自身的资源占用量。优选地，在所述安全防护软件的运行强度变大时采用渐变的策略，使得所述安全防护软件的运行强度逐渐达到所述期望的运行强度；而在所述安全防护软件的运行强度变小时，采用突变的策略，使得所述安全防护软件的运行强度立即达到所述期望的运行强度，以便不影响用户的其他操作。

这样的话，可以根据与用户设备有关的状态信息来动态调整安全防护软件的运行策略，从而在某些情况下能够降低运行强度以尽量减少对用户的其他正常操作的影响，而在另外一些情况下能够提高运行强度以提高用户设备的系统资源的利用率，从而，在整体上提高了用户设备的系统资源利用效率，并给用户带来了更好的使用体验。

图 3示出了根据本发明的一个实施例的用于动态调整安全防护软件的运行策略的装置，该装置包括用于使安全防护软件收集与所述用户设备有关的状态信息的模块 301 ; 用于根据所述状态信息，计算所述安全防护软件的期望的运行强度的模块 302;以及用于根据计算出的所述期望的运行强度来运行所述安全防护软件，从而调整所述安全防护软件占用的系统资源量的模块 303。

图 4示出了根据本发明的另一个实施例的用于动态调整安全防护软件的运行策略的方法。

根据该方法，在步骤 401，安全防护软件收集用户设备在当前和 /或过去一段时间内的软件和 /或硬件环境信息。在步骤 402，安全防护软件收集用户在当前和 /或过去一段时间内对用户设备执行的操作信息。上述两个步骤之间并不存在严格的时间先后关系，它们可以以不同的顺序执行，也可以并发执行。在其他实施例中，也可以仅执行步骤 401和 402中的一个步骤。

在步骤 403，根据在步骤 401和 /或 402中安全防护软件所收集的信息，计算安全防护软件中与扫描服务相关的线程的期望扫描频率。

在步骤 404，将该期望扫描频率与扫描线程的当前扫描频率进行比较。如果该期望扫描频率高于当前扫描频率，则在步骤 405 中使安全防护软件的扫描线程的扫描频率逐渐增大到所述期望扫描频率。如果该期望扫描频率低于当前扫描频率，则在步骤 406 中使安全防护软件的扫描线程的扫描频率立即降低到所述期望扫描频率。如果该期望扫描频率等于当前扫描频率，则不执行频率改变操作。从而，可以根据计算出的所述期望扫描频率来运行所述安全防护软件中的扫描线程，以调整所述安全防护软件占用的系统资源量。

图 5示出了根据本发明的另一个实施例的用于动态调整安全防护软件的运行策略的装置，该装置包括用于使安全防护软件收集用户设备的软件和 /或硬件环境信息的模块 501 ; 用于使安全防护软件收集用户对用户设备执行的操作信息的模块 502; 用于根据所收集的信息，计算安全防护软件中与扫描服务相关的线程的期望扫描频率的模块 503;用于将该期望扫描频率与当前扫描频率进行比较的模块 504;用于当期望扫描频率高于当前扫描频率时使扫描频率逐渐增大到所述期望扫描频率的模块 505;以及用于当期望扫描频率低于当前扫描频率时使扫描频率立即降低到所述期望扫描频率的模块 506。另外，在其他实施例中，上述装置可以不包括模块 501 或模块 502中的一个，而非必须同时包括上述两者。下文对如何检测用户操作的时间、类型、次数和 /或频率等进行更为详细的描述，该描述仅仅用于示例说明，其他一些检测方式也是可行的。

本发明可以不采用常规的通过挂钩子监听消息的方式获取输入统计数据，而是通过驱动层直接获取用户执行的操作，这种方式可以提高产品功能的可靠性和稳定性，并且可以避免和其他软件冲突。

另外，用户设备可能具有多个不同的输入设备，而且有些输入设备可能具有多种不同的输入类型（例如，鼠标的左键单击、右键单击、左键双击、移动、拖拽等）。而这些不同类型的输入并非具备相同的意义或者会产生相同的影响，例如，通常情况下，鼠标点击或键盘输入会比鼠标的移动更有意义或者会产生更大的影响。因此，区分不同输入设备的不同输入类型并对这些不同类型的输入进行区分统计是有意义的，其能够提供更详细的与用户操作有关的状态信息。通常可以根据对用户操作行为及操作习惯的分析，总结出不同类型的输入的实际意义或影响的区别。为了区别不同类型的输入的实际意义或影响，可以对各种类型的输入施加不同的权重，例如，可以使用 "ftype (Inp_UtType)"来计算某一输入类型的有效统计权值，其中， "InputType"代表输入类型， "ftype"是一个加权函数，其可以是基于用户操作行为及习惯分析而得出的经验公式。上述方式在一定程度上细化了与用户操作有关的状态信息，从而进一步提高了安全防护软件的智能程度。

优选地，当根据与用户操作有关的统计数据计算期望的安全防护软件运行强度时，应避免其可能引起的抖动（例如，安全防护软件的运行强度频繁剧烈变动）。例如，在用户操作的时间分布不均匀的情况下，如果仅根据用户当前的操作或很近一段时间的操作的统计信息执行运行强度改变，那么可能会引起抖动，这会对用户体验造成不良影响。因此，本发明可以引入用户操作平滑机制以避免抖动。例如，该机制可以考虑较长一段时间内的用户操作，并根据各个操作距当前时间的长短给予合适的不同权重。另外，在运行强度变大时采用渐变的策略也可以在一定程度上避免抖动。

应该注意，在采集用户输入数据时，仅采集与用户输入相关的统计信息，并不会采集任何用户输入的实际内容，该统计信息也仅用于用户自己的设备，不会导致用户信息的泄露。以上参照附图说明了本发明的示例性实施方式。然而，对于本领域技术人员来说显而易见的是，基于具体环境的不同，可以从上述示例性实施方式中很容易地获得其它各种修改和变型，所有这些修改和变型都应被认为落入本发明的实质范围之内。

Claims

权利要求书

1、一种用于动态调整在用户设备上运行的安全防护软件所占用的系统资源量的方法，该方法包括以下步骤：

所述安全防护软件收集与所述用户设备有关的状态信息；

根据所述状态信息，计算所述安全防护软件的期望的运行强度；以及根据计算出的所述期望的运行强度来运行所述安全防护软件，从而调整所述安全防护软件占用的系统资源量。

2、根据权利要求 1所述的方法，其中，所述状态信息包括：

所述用户设备的用户执行的操作的时间、类型、次数和 /或频率；和 / 或

所述用户设备的软件环境信息和 /或硬件环境信息。

3、根据权利要求 2所述的方法，其中，从驱动层直接获取所述用户执行的操作，以避免与在所述用户设备上运行的其他软件冲突。

4、根据权利要求 2所述的方法，其中，所述软件环境信息和 /或硬件环境信息包括以下各种信息中的至少一种：

所述用户设备的内存大小、所述用户设备的内存使用状况、所述用户设备的处理器速度、所述用户设备的处理器使用状况、所述用户设备当前正在运行的进程信息、所述用户设备当前的网络连接状况、所述用户设备当前的带宽使用状况、所述用户设备的输入设备的使用状况。

5、根据权利要求 4所述的方法，还包括：

如果所述网络连接状况属于按流量计费，则降低与所述安全防护软件有关的各种网络请求数据量。

6、根据权利要求 1-5中任意一项所述的方法，其中，所述状态信息包括当前和 /或过去一段时间内的状态信息。

7、根据权利要求 1-5中任意一项所述的方法，其中，所述运行强度包括所述安全防护软件的线程的工作频率。

8、根据权利要求 1-5中任意一项所述的方法，其中，不对所述运行强度设置有限数量的固定级别，实现无级别运行强度调节。

9、根据权利要求 1-5中任意一项所述的方法，其中，在所述安全防护软件的运行强度变大时采用渐变的策略，在所述安全防护软件的运行强度变小时采用突变的策略。

10、根据权利要求 5所述的方法，其中，

从驱动层直接获取所述用户执行的操作，以避免与在所述用户设备上运行的其他软件冲突；

所述状态信息包括当前和 /或过去一段时间内的状态信息；

所述运行强度包括所述安全防护软件的线程的工作频率；

不对所述运行强度设置有限数量的固定级别，实现无级别运行强度调节；以及

在所述安全防护软件的运行强度变大时采用渐变的策略，在所述安全防护软件的运行强度变小时采用突变的策略。

11、一种用于动态调整在用户设备上运行的安全防护软件所占用的系统资源量的装置，该装置包括以下模块：

用于使所述安全防护软件收集与所述用户设备有关的状态信息的模块；

用于根据所述状态信息，计算所述安全防护软件的期望的运行强度的模块；以及

用于根据计算出的所述期望的运行强度来运行所述安全防护软件，从而调整所述安全防护软件占用的系统资源量的模块。

12、根据权利要求 11所述的装置，其中，所述状态信息包括：所述用户设备的用户执行的操作的时间、类型、次数和 /或频率；和 / 或

所述用户设备的软件环境信息和 /或硬件环境信息。

13、根据权利要求 12所述的装置，其中，从驱动层直接获取所述用户执行的操作，以避免与在所述用户设备上运行的其他软件冲突。

14、根据权利要求 12所述的装置，其中，所述软件环境信息和 /或硬件环境信息包括以下各种信息中的至少一种：

15、根据权利要求 14所述的装置，还包括：

用于如果所述网络连接状况属于按流量计费，则降低与所述安全防护软件有关的各种网络请求数据量的模块。

16、根据权利要求 11-15中任意一项所述的装置，其中，所述状态信息包括当前和 /或过去一段时间内的状态信息。

17、根据权利要求 11-15中任意一项所述的装置，其中，所述运行强度包括所述安全防护软件的线程的工作频率。

18、根据权利要求 11-15中任意一项所述的装置，其中，不对所述运行强度设置有限数量的固定级别，实现无级别运行强度调节。

19、根据权利要求 11-15中任意一项所述的装置，其中，在所述安全防护软件的运行强度变大时采用渐变的策略，在所述安全防护软件的运行强度变小时采用突变的策略。

20、根据权利要求 15所述的装置，其中，

所述状态信息包括当前和 /或过去一段时间内的状态信息；

所述运行强度包括所述安全防护软件的线程的工作频率；