[发明专利]基于虚拟化环境的查杀方法及装置

权利要求书

1.一种基于虚拟化环境的查杀方法，其特征在于，所述方法包括：

接收文件的访问请求；

根据文件的访问请求获得文件信息；

根据所述文件信息，获取文件标识；

根据所述文件标识在可信文件记录中查找对应的可信项；

若未查找到对应的可信项，则将所述文件送往安全虚拟机进行检测；

接收所述安全虚拟机返回的检测结果；

若所述检测结果为文件安全，则将所述文件标识添加到可信文件记录中，并将所述文件存入可信文件缓存。

2.根据权利要求1所述的基于虚拟化环境的查杀方法，其特征在于，所述文件信息包括文件的路径和文件的大小。

3.根据权利要求1或2所述的基于虚拟化环境的查杀方法，其特征在于，所述根据所述文件信息，获取文件标识的步骤包括：

将所述文件信息中包含的字符拼接成字符串；

计算所述字符串的哈希值，并将所述哈希值作为文件标识。

4.根据权利要求1所述的基于虚拟化环境的查杀方法，其特征在于，所述可信文件记录包括多个可信项，所述可信项按照树状结构排列。

5.根据权利要求1所述的基于虚拟化环境的查杀方法，其特征在于，所述根据所述文件标识在可信文件记录中查找对应的可信项包括：

将所述文件标识拆分为多个第一成员，并以相同的拆分方式将可信项拆分为多个第二成员；

将所述多个第一成员与多个所述第二成员按照排列顺序一一进行比较；

若所述多个第一成员组与所述多个第二成员均相同，则在可信文件记录中查找到对应的可信项。

6.根据权利要求1所述的基于虚拟化环境的查杀方法，其特征在于，所述可信文件缓存包括最近N个检测结果为文件安全的可信文件，其中N为预设阈值。

7.一种基于虚拟化环境的查杀装置，所述装置包括：

访问请求接收模块，用于接收文件的访问请求；

文件信息获取模块，用于根据文件的访问请求获得文件信息；

文件标识获取模块，用于根据所述文件信息，获取文件标识；

可信文件查找模块，用于根据所述文件标识在可信文件记录中查找对应的可信项；

文件传送模块，用于若未查找到对应的可信项，则将所述文件送往安全虚拟机进行检测；

检测结果接收模块，用于接收所述安全虚拟机返回的检测结果；

可信文件记录更新模块，用于若所述检测结果为文件安全，则将所述文件标识添加到可信文件记录中，并将所述文件存入可信文件缓存。

8.根据权利要求6所述的基于虚拟化环境的查杀装置，其特征在于，所述文件信息包括文件的路径和文件的大小。

9.根据权利要求6所述的基于虚拟化环境的查杀装置，其特征在于，所述文件标识获取模块包括：

字符串拼接单元，用于将所述文件信息中包含的字符拼接成字符串；

哈希值计算单元，用于计算所述字符串的哈希值，并将所述哈希值作为文件标识。

10.根据权利要求6所述的基于虚拟化环境的查杀装置，其特征在于，所述可信文件记录包括多个可信项，所述可信项按照树状结构排列。

11.根据权利要求6所述的基于虚拟化环境的查杀装置，其特征在于，所述根据所述文件标识在可信文件记录中查找对应的可信项包括：

将所述文件标识拆分为多个第一成员，并以相同的拆分方式将可信项拆分为多个第二成员；

将所述多个第一成员与多个所述第二成员按照排列顺序一一进行比较；

若所述多个第一成员组与所述多个第二成员均相同，则在可信文件记录中查找到对应的可信项。