WO2014146499A1 - 一种文件实时防护的方法和装置 - Google Patents

Abstract

公开了一种文件实时防护的方法和装置，其中方法包括：在进行文件防护的过程中，确定计算机系统的当前安全度；选择与所述当前安全度对应的模式对所述计算机系统进行文件实时防护；当前安全度越高选择的模式防护等级越低，当前安全度越低选择的模式防护等级越高。将计算机系统化分成不同的安全度，多种模式匹配不同的安全度，保证计算机的安全使用，又能够降低安全软件对计算机系统的流畅性以及用户体验的影响。

Description

一种文件实时防护的方法和装置

本申请要求于 2013 年 3 月 22 日提交中国专利局、 申请号为 2013100964411.0、发明名称为"一种文件实时防护的方法和装置"的中国专利申 请的优先权， 其全部内容通过引用结合在本申请中。

技术领域

本发明涉及计算机技术领域， 特别涉及一种文件实时防护的方法和装置。

背景技术

面对计算机不断迅猛发展的今天，计算机的使用已经完全融入了生活的各 个角落，人们的生活质量也随着计算机的普及而有了大的提高。所谓有利则会 有弊， 计算机给人类生活带来了便捷的同时， 也为黑色产业链带来了契机。 病 毒木马就搭着这个黑色产业链迅速发展的顺风车，也一同进入了人们的计算机 中。 而这一结果就导致了大量的用户财产损失和其他隐私被窥窃等风险。

为了防止病毒木马对用户造成损害，安全软件也在这个巨大的风险里面得 到了长足的发展。 为了能够全方位的保护计算机使用者， 安全软件从以往的只 会用户点击才手动杀毒， 发展到计划任务一段时间就杀一次毒。 可是， 这还不 够实时， 演变到今天的文件实时防护； 文件实时防护， 是指只要有文件操作产 生就能实时监控到病毒木马的入侵。 因而， 安全软件发现风险的反应速度得到 了极大的提高。

发明内容

本发明实施例提供了一种文件防护的方法和装置，用于提供文件防护的方 案， 用来保证计算机的安全使用， 又能够降低安全软件对计算机系统的流畅性 以及用户体验。

一种文件防护的方法， 包括： 在进行文件防护的过程中， 确定计算机系统的当前安全度；

选择与所述当前安全度对应的模式对所述计算机系统进行文件实时防护； 当前安全度越高选择的模式防护等级越低，当前安全度越低选择的模式防护等 级越高。

一种文件防护的装置， 包括： 计算机系统的当前安全度；

模式选择单元， 用于选择与所述当前安全度对应的模式； 当前安全度越高 选择的模式防护等级越低， 当前安全度越低选择的模式防护等级越高；

防护处理单元，用于使用模式选择单元选择的模式对所述计算机系统进行 文件实时防护。

从以上技术方案可以看出， 本发明实施例具有以下优点： 将计算机系统划 分成不同安全度， 多种模式匹配不同的安全度， 保证计算机的安全使用， 又能 够降低安全软件对计算机系统的流畅性以及用户体验。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所 需要使用的附图作筒要介绍， 显而易见地， 下面描述中的附图仅仅是本发明的 一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提 下， 还可以根据这些附图获得其他的附图。

图 1为本发明实施例方法流程示意图；

图 2为本发明实施例方法流程示意图；

图 3为本发明实施例方法流程示意图；

图 4为本发明实施例方法流程示意图；

图 5为本发明实施例装置结构示意图；

图 6为本发明实施例另一装置结构示意图。 具体实施方式

为了使本发明的目的、技术方案和优点更加清楚， 下面将结合附图对本发 明作进一步地详细描述， 显然， 所描述的实施例仅仅是本发明一部份实施例， 而不是全部的实施例。基于本发明中的实施例， 本领域普通技术人员在没有做 出创造性劳动前提下所获得的所有其它实施例， 都属于本发明保护的范围。 本发明实施例提供了一种文件实时防护的方法， 如图 1所示， 包括： 101： 在进行文件实时防护的过程中， 确定计算机系统的当前安全度； 从目前的计算机和全年的统计来看，计算机上出现恶意程序风险的可能性 大致在几个百分点这个级别。 也就是说绝大部分用户计算机是安全和无风险 的，且大部分时间内用户其实都没有安全风险。也就是说用户的机器实际上并 不一定要采用时时刻刻的全部扫描来保证安全。只要在关键触发风险的时候做 到全面拦截风险即可。这样一来大部分情况下， 只需要轻量的扫描即可解决问 题， 而又不会产生安全风险。 因此本步骤确定计算机系统的当前安全度则可以 为确定当前计算机系统是否处于安全状态。

102： 选择与上述当前安全度对应的模式对上述计算机系统进行文件实时 防护；当前安全度越高模式防护等级越低，当前安全度越低模式防护等级越高。

模式防护等级低的时候，可以称为哨兵策略，根据计算机划分的风险等级， 来排布监控哨兵。 当计算机系统干净， 没有风险的时候， 只需要布置少量的监 控哨兵， 及时发现风险即可。 对于计算机系统存在恶意风险的时候， 再把哨兵 全面展开， 布置足够保证安全的哨兵， 即可做到第一时间扼杀风险。 可以理解 的是， 模式可以是两种也可以是两种以上， 各模式对应有防护等级， 防护等级 高如何设置， 防护等级低如何设置可以由研发人员设定， 本发明实施例在后续 实施例中将给出举例说明，但是设置的方式可以有^艮多种， 并不限定于后续举 例。

以上方案，将计算机系统划分成不同安全度，多种模式匹配不同的安全度， 保证计算机的安全使用，又能够降低安全软件对计算机系统的流畅性以及用户 体验。 进一步地，本发明实施例还提供了智能切换模式的方案，上述方法还包括： 在进行文件实时防护的过程中， 若监测到风险数据， 则选择比当前模式防 护等级高的模式， 然后对上述计算机系统进行文件实时防护。

可选地， 上述模式包括至少两个模式，模式的防护等级越高占用的计算机 系统资源越多，模式的防护等级越低占用的计算机系统资源越少。可以理解的 是模式还可以继续细分为更多的模式， 对应更多的防护等级， 以上两种模式作 为一个优选方案不应理解为对本发明实施例的限定。

进一步地， 本发明实施例还提供了另外一种智能切换模式的方案， 上述方 法还包括：

在进行文件实时防护的过程中， 若预定时间内未监测到风险数据， 则选择 比当前模式防护等级低的模式， 然后对上述计算机系统进行文件实时防护。

可选地， 本发明实施例还给出了防护等级采用的防护策略的举例说明， 具 体地： 防护等级低的模式包括：

规则过滤设定的部分事件、文件执行事件异步监测、文件写入事件按设定 规则过滤拦截、 对设定的需要拦截的事件进行文件扫描。

可选地， 本发明实施例还给出了防护等级采用的防护策略的举例说明， 具 体地： 防护等级高的模式包括：

规则过滤设定的部分事件、文件执行事件同步监测、文件写入事件全面拦 截、 对拦截的事件进行文件扫描。

本发明实施例提出了一个新的思路，将计算机系统分为不同的风险等级场 景， 对于不同的场景， 执行不同的监控拦截策略。 以下实施例以前述两种类型 的文件实时防护的方案为例， 进行详细说明， 如下：

从目前的计算机和全年的统计来看，计算机上出现恶意程序风险的可能性 大致在几个百分点这个级别。 也就是说绝大部分用户计算机是安全和无风险 的，且大部分时间内用户其实都没有安全风险。也就是说用户的机器实际上并 不一定要采用时时刻刻的全部扫描来保证安全。只要在关键触发风险的时候做 到全面拦截风险即可。这样一来大部分情况下， 只需要轻量的扫描即可解决问 题， 而又不会产生安全风险。 因此本步骤确定计算机系统的当前安全度则可以 为确定当前计算机系统是否处于安全状态。

本发明实施例的整个实现方式， 类似于哨兵策略，根据计算机划分的风险 等级， 来排布监控哨兵。 当计算机系统干净， 没有风险的时候， 只需要布置少 量的监控哨兵， 及时发现风险即可。 对于计算机系统存在恶意风险的时候， 再 把哨兵全面展开， 布置足够保证安全的哨兵， 即可做到第一时间扼杀风险。

本发明实施例具体实施思路如下， 文件实时防护具备多套模式，有侧重性 能的低资源模式， 有侧重安全的高安全模式。 侧重性能的低资源模式， 只会监 控特定的事件以及特定规则的文件， 既只扫描少量的文件，起到边界哨兵的作 用， 主要是堵住病毒木马入侵的第一案发现场。 侧重安全的高安全模式， 则会 监控所有文件操作事件的文件， 起到扼杀风险的作用， 保障计算机系统安全。 两套模式是动态智能切换的，切换的条件是计算机系统的场景。 当在低资源模 式的运行状态下， 边界哨兵检测到有病毒木马入侵， 则立即动态将文件实时防 护模式切换到高安全模式， 抵御风险， 全面保护机器安全。 当在高安全模式的 运行状态下， 一段时间内没有再检出病毒木马， 即计算机系统已经安全和没有 风险， 则动态切换为低资源模式监控， 恢复到对纯净下的拦截的低资源模式， 对用户的影响非常小， 机器运行流畅。

总的来说， 整个实施过程， 具备自适应能力， 将计算机系统划分成不同场 景， 多种模式自动匹配最适合的场景， 做到对用户影响小， 体验流畅， 而安全 能力也有保障的平衡。

以下对文件实施防护的流程进行详细说明， 文件实施防护分为三个部分：

1、 低资源模式的文件实施防护、 2、 高安全模式的文件实施防护、 3、 文 件实施防护的防护模式的智能动态切换。

一、 低资源模式的文件实施防护， 拦截步骤如图 2所示， 包括：

201： 文件操作事件触发。 即计算机系统出现了文件操作事件。

202： 判断是否为特定事件， 如果是进入 203 , 否则进入 206; 该步骤特定 事件可以是写入， 执行事件； 该步骤的目的是： 规则过滤部分事件， 只监控写 入， 执行事件； 即： 按照预定的规则对 201出现的文件操作事件进行过滤。

203: 低资源模式规则过滤， 只扫描特定文件， 具体可以是： 文件执行事 件， 转异步， 不同步拦截； 文件写入事件， 按特定规则过滤， 只拦截高风险情 况下的文件。

204： 判断是否需要扫描； 如果是， 进入 205 ; 否则进入 207; 其中 203中需 要拉截的文件一般就是需要扫描的文件。

205 : 开始扫描， 确定是否是恶意程序。

206: 放行不关注的无意义事件。

207: 放行过低资源滤规则事件。

二、 高安全模式的文件实施防护， 拦截步骤如图 3所示， 包括：

301： 文件操作事件触发。 即计算机系统出现了文件操作事件。

302： 判断是否为特定事件， 如果是进入 303 , 否则进入 304; 该步骤特定 事件可以是写入， 执行事件； 该步骤的目的是： 规则过滤部分事件， 只监控写 入， 执行事件； 即： 按照预定的规则对 301出现的文件操作事件进行过滤。

303: 文件执行事件， 同步拦截； 文件写入事件， 不过滤， 全面拦截； 对 于拦截的文件， 开始扫描；

304： 放行不关注的无意义事件。

三、 文件实施防护的防护模式的智能动态切换， 如图 4所示， 包括： 401： 运行在低资源模式的状态；

402： 判断是否监控检测到有病毒木马， 进入 403; 否则进入 401 ;

403: 立即将拦截模式， 动态切换到高安全模式；

404： 运行在高安全模式的状态；

405 : 监控一段时间内， 确定是否有病毒木马检测到； 如果有， 进入 404 , 否则进入 406;

406: 切换到低资源模式， 进入 401。

本发明实施例还提供了一种文件实时防护的装置， 如图 5所示， 包括： 中， 确定计算机系统的当前安全度；

模式选择单元 502 , 用于选择与上述当前安全度对应的模式； 当前安全度 越高模式防护等级越低， 当前安全度越低模式防护等级越高； 防护处理单元 5 03 ,用于使用模式选择单元 502选择的模式对上述计算机系 统进行文件实时防护。

以上方案，将计算机系统划分成不同安全度，多种模式匹配不同的安全度， 保证计算机的安全使用，又能够降低安全软件对计算机系统的流畅性以及用户 体验。

进一步地， 本发明实施例还提供了智能切换模式的方案， 上述模式选择单 测到风险数据， 则选择比当前模式防护等级高的模式。

可选地， 上述模式选择单元 502可选的模式包括至少两个模式， 模式的防 护等级越高占用的计算机系统资源越多，模式的防护等级越低占用的计算机系 统资源越少。可以理解的是模式还可以继续细分为更多的模式，对应更多的防 护等级， 以上两种模式作为一个优选方案不应理解为对本发明实施例的限定。

进一步地， 本发明实施例还提供了另外一种智能切换模式的方案，模式选 预定时间内未监测到风险数据， 则选择比当前模式防护等级低的模式， 然后对 上述计算机系统进行文件实时防护。

可选地， 本发明实施例还给出了防护等级采用的防护策略的举例说明， 具 体地： 防护处理单元 503 , 具体用于若模式选择单元 502选择的是防护等级低的 模式， 则使用规则过滤设定的部分事件、 文件执行事件异步监测、 文件写入事 件按设定规则过滤拦截、对设定的需要拦截的事件进行文件扫描来对上述计算 机系统进行文件实时防护。

可选地， 本发明实施例还给出了防护等级采用的防护策略的举例说明， 具 体地： 防护处理单元 503 , 具体用于若模式选择单元 502选择的是防护等级高的 模式， 则使用规则过滤设定的部分事件、 文件执行事件同步监测、 文件写入事 件全面拦截、对拦截的事件进行文件扫描来对上述计算机系统进行文件实时防 护。

本发明实施例还提供了另一种图像显示控制装置， 如图 6所示， 为了便于 说明， 仅示出了与本发明实施例相关的部分， 具体技术细节未揭示的， 请参照 本发明实施例方法部分。 该终端可以为包括手机、 平板电脑、 PDA (Personal Digital Assistant, 个人数字助理）、 POS (Point of Sales, 销售终端）、 车 载电脑等任意终端设备， 以终端为手机为例：

图 6示出的是与本发明实施例提供的终端相关的手机的部分结构的框图。 参考图 6, 手机包括： 射频（Radio Frequency, RF ) 电路 610、 存储器 620、 输 入单元 630、 显示单元 640、 传感器 650、 音频电路 660、 无线保真 （wireless fidelity, WiFi )模块 670、 处理器 680、 以及电源 690等部件。 本领域技术人 员可以理解， 图 6中示出的手机结构并不构成对手机的限定， 可以包括比图示 更多或更少的部件， 或者组合某些部件， 或者不同的部件布置。

下面结合图 6对手机的各个构成部件进行具体的介绍：

RF电路 610可用于收发信息或通话过程中， 信号的接收和发送， 特别地， 将基站的下行信息接收后， 给处理器 680处理； 另外， 将设计上行的数据发送 给基站。 通常， RF电路包括但不限于天线、 至少一个放大器、 收发信机、 耦合 器、 低噪声放大器（Low Noise Amplifier, LNA )、 双工器等。 此外， RF电路 60还可以通过无线通信与网络和其他设备通信。上述无线通信可以使用任一通 信标准或协议， 包括但不限于全球移动通讯系统 （Global System of Mobile communication, GSM )、 通用分组无线服务 ( General Packet Radio Service, GPRS)、 码分多址 (Code Division Multiple Access, CDMA )、 宽带码分多址 ( Wideband Code Division Multiple Access, WCDMA ), 长期演进 ( Long Term Evolution, LTE )、 电子邮件、 短消息月良务（ Short Messaging Service, SMS ) 等。

存储器 620可用于存储软件程序以及模块，处理器 680通过运行存储在存储 器 620的软件程序以及模块， 从而执行手机的各种功能应用以及数据处理。 存 储器 620可主要包括存储程序区和存储数据区， 其中， 存储程序区可存储操作 系统、 至少一个功能所需的应用程序 （比如声音播放功能、 图像播放功能等） 等； 存储数据区可存储根据手机的使用所创建的数据（比如音频数据、 电话本 等）等。 此外， 存储器 620可以包括高速随机存取存储器， 还可以包括非易失 性存储器， 例如至少一个磁盘存储器件、 闪存器件、 或其他易失性固态存储器 件。

输入单元 630可用于接收输入的数字或字符信息，以及产生与手机 600的用 户设置以及功能控制有关的键信号输入。 具体地， 输入单元 630可包括触控面 板 631以及其他输入设备 632。 触控面板 631 , 也称为触摸屏， 可收集用户在其 上或附近的触摸操作 (比如用户使用手指、触笔等任何适合的物体或附件在触 控面板 631上或在触控面板 631附近的操作 ), 并根据预先设定的程式驱动相应 的连接装置。 可选的， 触控面板 631可包括触摸检测装置和触摸控制器两个部 分。 其中， 触摸检测装置检测用户的触摸方位， 并检测触摸操作带来的信号， 将信号传送给触摸控制器； 触摸控制器从触摸检测装置上接收触摸信息， 并将 它转换成触点坐标，再送给处理器 680 , 并能接收处理器 680发来的命令并加以 执行。 此外， 可以采用电阻式、 电容式、 红外线以及表面声波等多种类型实现 触控面板 631。 除了触控面板 631 , 输入单元 630还可以包括其他输入设备 632。 具体地， 其他输入设备 632可以包括但不限于物理键盘、 功能键（比如音量控 制按键、 开关按键等）、 轨迹球、 鼠标、 操作杆等中的一种或多种。

显示单元 640可用于显示由用户输入的信息或提供给用户的信息以及手机 的各种菜单。 显示单元 640可包括显示面板 641 , 可选的， 可以采用液晶显示器 ( Liquid Crys ta l Di splay, LCD )、有机发光二极管 ( Organic Light-Emi t t ing Diode, OLED )等形式来配置显示面板 641。 进一步的， 触控面板 631可覆盖显 示面板 641 , 当触控面板 631检测到在其上或附近的触摸操作后，传送给处理器 680以确定触摸事件的类型， 随后处理器 680根据触摸事件的类型在显示面板 641上提供相应的视觉输出。 虽然在图 6中，触控面板 631与显示面板 641是作为 两个独立的部件来实现手机的输入和输入功能，但是在某些实施例中， 可以将 触控面板 631与显示面板 641集成而实现手机的输入和输出功能。

手机 600还可包括至少一种传感器 650 , 比如光传感器、运动传感器以及其 他传感器。 具体地， 光传感器可包括光传感器及接近传感器， 其中， 光传感器 可根据光线的明暗来调节显示面板 641的亮度， 接近传感器可在手机移动到耳 边时， 关闭显示面板 641和 /或背光。 作为运动传感器的一种， 加速计传感器可 检测各个方向上（一般为三轴）加速度的大小， 静止时可检测出重力的大小及 方向， 可用于识别手机姿态的应用 （比如横竖屏切换、 相关游戏、 磁力计姿态 校准）、 振动识别相关功能（比如计步器、 敲击）等； 至于手机还可配置的陀 螺仪、 气压计、 湿度计、温度计、 红外线传感器等其他传感器， 在此不再赘述。

音频电路 660、扬声器 661 ,传声器 662可提供用户与手机之间的音频接口。 音频电路 660可将接收到的音频数据转换后的电信号，传输到扬声器 661 , 由扬 声器 661转换为声音信号输出； 另一方面，传声器 662将收集的声音信号转换为 电信号， 由音频电路 660接收后转换为音频数据，再将音频数据输出处理器 680 处理后， 经 RF电路 610以发送给比如另一手机， 或者将音频数据输出至存储器 620以便进一步处理。

WiF i属于短距离无线传输技术， 手机通过 WiF i模块 670可以帮助用户收发 电子邮件、浏览网页和访问流式媒体等， 它为用户提供了无线的宽带互联网访 问。 虽然图 6示出了 WiF i模块 670 , 但是可以理解的是， 其并不属于手机 600的 必须构成， 完全可以根据需要在不改变发明的本质的范围内而省略。

处理器 680是手机的控制中心， 利用各种接口和线路连接整个手机的各个 部分，通过运行或执行存储在存储器 620内的软件程序和 /或模块， 以及调用存 储在存储器 620内的数据， 执行手机的各种功能和处理数据， 从而对手机进行 整体监控。 可选的， 处理器 680可包括一个或多个处理单元； 优选的， 处理器 680可集成应用处理器和调制解调处理器， 其中， 应用处理器主要处理操作系 统、 用户界面和应用程序等， 调制解调处理器主要处理无线通信。 可以理解的 是， 上述调制解调处理器也可以不集成到处理器 680中。

手机 600还包括给各个部件供电的电源 690 (比如电池）， 优选的， 电源可 以通过电源管理系统与处理器 680逻辑相连， 从而通过电源管理系统实现管理 充电、 放电、 以及功耗管理等功能。

尽管未示出， 手机 600还可以包括摄像头、 蓝牙模块等， 在此不再赘述。 在本发明实施例中， 该终端所包括的处理器 680还具有以下功能： 在进行文件实时防护的过程中， 确定计算机系统的当前安全度；

选择与上述当前安全度对应的模式对上述计算机系统进行文件实时防护； 当前安全度越高模式防护等级越低， 当前安全度越低模式防护等级越高。 从目前的计算机和全年的统计来看，计算机上出现恶意程序风险的可能性 大致在几个百分点这个级别。 也就是说绝大部分用户计算机是安全和无风险 的，且大部分时间内用户其实都没有安全风险。也就是说用户的机器实际上并 不一定要采用时时刻刻的全部扫描来保证安全。只要在关键触发风险的时候做 到全面拦截风险即可。这样一来大部分情况下， 只需要轻量的扫描即可解决问 题， 而又不会产生安全风险。 因此本步骤确定计算机系统的当前安全度则可以 为确定当前计算机系统是否处于安全状态。

模式防护等级低的时候，可以称为哨兵策略，根据计算机划分的风险等级， 来排布监控哨兵。 当计算机系统干净， 没有风险的时候， 只需要布置少量的监 控哨兵， 及时发现风险即可。 对于计算机系统存在恶意风险的时候， 再把哨兵 全面展开， 布置足够保证安全的哨兵， 即可做到第一时间扼杀风险。 可以理解 的是， 模式可以是两种也可以是两种以上， 各模式对应有防护等级， 防护等级 高如何设置， 防护等级低如何设置可以由研发人员设定， 本发明实施例在后续 实施例中将给出举例说明，但是设置的方式可以有^艮多种， 并不限定于后续举 例。

以上方案，将计算机系统划分成不同安全度，多种模式匹配不同的安全度， 保证计算机的安全使用，又能够降低安全软件对计算机系统的流畅性以及用户 体验。

进一步地， 本发明实施例还提供了智能切换模式的方案， 处理器 680还用 于在进行文件实时防护的过程中， 若监测到风险数据， 则选择比当前模式防护 等级高的模式， 然后对上述计算机系统进行文件实时防护。

可选地， 上述模式包括至少两个模式，模式的防护等级越高占用的计算机 系统资源越多， 模式的防护等级越低占用的计算机系统资源越少。

可以理解的是模式还可以继续细分为更多的模式， 对应更多的防护等级， 以上两种模式作为一个优选方案不应理解为对本发明实施例的限定。

进一步地， 本发明实施例还提供了另外一种智能切换模式的方案， 处理器 680还用于在进行文件实时防护的过程中， 若预定时间内未监测到风险数据， 则选择比当前模式防护等级低的模式，然后对上述计算机系统进行文件实时防 护。

可选地， 防护等级低的模式包括：

规则过滤设定的部分事件、文件执行事件异步监测、文件写入事件按设定 规则过滤拦截、 对设定的需要拦截的事件进行文件扫描。

可选地， 防护等级高的模式包括：

规则过滤设定的部分事件、文件执行事件同步监测、文件写入事件全面拦 截、 对拦截的事件进行文件扫描。

值得注意的是， 上述装置实施例中， 所包括的各个单元只是按照功能逻辑 进行划分的，但并不局限于上述的划分，只要能够实现相应的功能即可；另夕卜， 各功能单元的具体名称也只是为了便于相互区分，并不用于限制本发明的保护 范围。

另外，本领域普通技术人员可以理解实现上述各方法实施例中的全部或部 分步骤是可以通过程序来指令相关的硬件完成，相应的程序可以存储于一种计 算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上仅为本发明较佳的具体实施方式， 但本发明的保护范围并不局限于 此，任何熟悉本技术领域的技术人员在本发明实施例揭露的技术范围内， 可轻 易想到的变化或替换， 都应涵盖在本发明的保护范围之内。 因此， 本发明的保 护范围应该以权利要求的保护范围为准。

Claims

权 利 要 求

1、 一种文件防护的方法， 其特征在于， 包括：

在进行文件防护的过程中， 确定计算机系统的当前安全度；

选择与所述当前安全度对应的模式对所述计算机系统进行文件防护；当前 安全度越高选择的模式防护等级越低，当前安全度越低选择的模式防护等级越 高。

2、 根据权利要求 1所述方法， 其特征在于， 还包括：

在进行文件防护的过程中， 若发现风险数据， 则选择比当前模式防护等级 高的模式， 然后对所述计算机系统进行文件防护。

3、 根据权利要求 1所述方法， 其特征在于，

所述模式包括至少两个模式，模式的防护等级越高占用的计算机系统资源 越多， 模式的防护等级越低占用的计算机系统资源越少。

4、 根据权利要求 1至 3任意一项所述方法， 其特征在于， 还包括： 在进行文件防护的过程中， 若预定时间内未发现风险数据， 则选择比当前 模式防护等级低的模式， 然后对所述计算机系统进行文件防护。

5、 根据权利要求 1至 3任意一项所述方法， 其特征在于， 防护等级低的 模式包括：

规则过滤设定的部分事件、文件执行事件异步监测、文件写入事件按设定 规则过滤拦截、 对设定的需要拦截的事件进行文件扫描。

6、 根据权利要求 1至 3任意一项所述方法， 其特征在于， 防护等级高的 模式包括：

规则过滤设定的部分事件、文件执行事件同步监测、文件写入事件全面拦 截、 对拦截的事件进行文件扫描。

7、 一种文件防护的装置， 其特征在于， 包括：

安全度确定单元， 用于在防护处理单元进行文件防护的过程中，确定计算 机系统的当前安全度；

模式选择单元， 用于选择与所述当前安全度对应的模式； 当前安全度越高 选择的模式防护等级越低， 当前安全度越低选择的模式防护等级越高；

防护处理单元，用于使用模式选择单元选择的模式对所述计算机系统进行 文件防护。

8、 根据权利要求 7所述装置， 其特征在于， 若监测到风险数据， 则选择比当前模式防护等级高的模式。

9、 根据权利要求 7所述装置， 其特征在于，

所述模式选择单元可选的模式包括至少两个模式，模式的防护等级越高占 用的计算机系统资源越多， 模式的防护等级越低占用的计算机系统资源越少。

10、 根据权利要求 7至 9任意一项所述装置， 其特征在于， 预定时间内未监测到风险数据， 则选择比当前模式防护等级低的模式， 然后对 所述计算机系统进行文件防护。

11、 根据权利要求 7至 9任意一项所述装置， 其特征在于，

防护处理单元， 具体用于若模式选择单元选择的是防护等级低的模式， 则 使用规则过滤设定的部分事件、文件执行事件异步监测、文件写入事件按设定 规则过滤拦截、对设定的需要拉截的事件进行文件扫描来对所述计算机系统进 行文件防护。

12、根据权利要求 7至 9任意一项所述装置，其特征在于，防护处理单元， 具体用于若模式选择单元选择的是防护等级高的模式，则使用规则过滤设定的 部分事件、 文件执行事件同步监测、 文件写入事件全面拦截、 对拦截的事件进 行文件扫描来对所述计算机系统进行文件防护。

13、 一种计算机可读介质， 具有存储在其上的指令， 所述指令被运行时使 计算机执行一种文件防护的方法， 包括：

在进行文件防护的过程中， 确定计算机系统的当前安全度；

选择与所述当前安全度对应的模式对所述计算机系统进行文件防护；当前 安全度越高选择的模式防护等级越低，当前安全度越低选择的模式防护等级越 高。

14、 根据权利要求 13所述的计算机可读介质， 其中所述文件防护的方法 还包括：

在进行文件防护的过程中， 若发现风险数据， 则选择比当前模式防护等级 高的模式， 然后对所述计算机系统进行文件防护。

15、 根据权利要求 13所述的计算机可读介质， 其中所述模式包括至少两 个模式，模式的防护等级越高占用的计算机系统资源越多，模式的防护等级越 低占用的计算机系统资源越少。

16、根据权利要求 13至 15所述的计算机可读介质， 其中所述文件防护的 方法还包括：

在进行文件防护的过程中， 若预定时间内未发现风险数据， 则选择比当前 模式防护等级低的模式， 然后对所述计算机系统进行文件防护。

17、根据权利要求 13至 15所述的计算机可读介质， 其中所述防护等级低 的模式包括：

规则过滤设定的部分事件、文件执行事件异步监测、文件写入事件按设定 规则过滤拦截、 对设定的需要拦截的事件进行文件扫描。

18、根据权利要求 13至 15所述的计算机可读介质， 其中所述防护等级高 的模式包括：

规则过滤设定的部分事件、文件执行事件同步监测、文件写入事件全面拦 截、 对拦截的事件进行文件扫描。