[发明专利]基于虚拟化环境的查杀方法及装置

说明书

技术领域

本发明涉及病毒查杀方法及装置，特别是涉及一种基于虚拟化环境的查杀方法及装置。

背景技术

随着云计算的不断普及，虚拟化技术的应用越来越广。Gartner预测，到2016年，企业数据中心50％的安全控制将是虚拟化的。同时，虚拟化环境下的安全防护问题也日益突显。因此，针对虚拟化环境的安全部署方案十分重要。

早期的虚拟机病毒防护采用代理模式和无代理模式防病毒。在无代理模式中，需将一台虚拟机作为安全虚拟机，管理虚拟化环境下的其他虚拟机的安全。虚拟机上的文件被访问时都要先通过安全虚拟机检查然后再进行文件访问。这样虽然保证了文件的安全，但如果反复对同一文件进行检测，却导致了文件访问效率过低。

发明内容

基于此，有必要针对文件访问效率过低的问题，提供基于虚拟化环境的查杀方法及装置。

一种基于虚拟化环境的查杀方法，包括：

接收文件的访问请求；

根据文件的访问请求获得文件信息；

根据所述文件信息，获取文件标识；

根据所述文件标识在可信文件记录中查找对应的可信项；

若未查找到对应的可信项，则将所述文件送往安全虚拟机进行检测；

接收所述安全虚拟机返回的检测结果；

若所述检测结果为文件安全，则将所述文件标识添加到可信文件记录中，并将所述文件存入可信文件缓存。

一种基于虚拟化环境的查杀装置，包括：

访问请求接收模块，用于接收文件的访问请求；

文件信息获取模块，用于根据文件的访问请求获得文件信息；

文件标识获取模块，用于根据所述文件信息，获取文件标识；

可信文件查找模块，用于根据所述文件标识在可信文件记录中查找对应的可信项；

文件传送模块，用于若未查找到对应的可信项，则将所述文件送往安全虚拟机进行检测；

检测结果接收模块，用于接收所述安全虚拟机返回的检测结果；

可信文件记录更新模块，用于若所述检测结果为文件安全，则将所述文件标识添加到可信文件记录中，并将所述文件存入可信文件缓存。

上述基于虚拟化环境的查杀方法及装置，先通过获取的文件信息获得文件标识，然后根据文件标识值从可信文件记录中查找该文件的信息，当可信文件记录没有对应的可信项时，才送往安全虚拟机进行进一步检测，并非直接送往安全虚拟机检测。在安全虚拟机返回结果安全时，将文件标识添加到可信文件记录中，下次查找时即可以找到对应的可信项，确认其为安全文件。同时，将文件存入可信文件缓存，下次访问该文件时，可直接从缓存中取用文件。该方法和装置利用可信文件记录的方法，减少了文件送往安全虚拟机进行检测的次数，使得可信文件不用每次都经过同样的检测，并且可以直接从可信文件缓存中取用文件，提高了文件访问效率。

附图说明

图1为一个实施例中的基于虚拟化环境的查杀方法的流程图；

图2为一个实施例中的将多个第一成员与多个所述第二成员按照排列顺序一一进行比较的流程示意图；

图3为一个实施例中的基于虚拟化环境的查杀装置的结构框图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

使用无代理模式的防病毒方法中，物理主机上配置有安全虚拟机及虚拟机客户端，安全虚拟机对虚拟客户端进行安全防护。在虚拟机客户端中将有与PCI(Peripheral Component Interconnection，外围设备互联)插槽连接的设备(简称PCI设备)。一台计算机可以连接多个PCI设备，每台PCI设备需要相应的驱动程序来与计算机进行通讯。其中有一块特殊的PCI设备用于客户机与安全虚拟机之间的通信。相应地，此PCI设备具有PCI驱动程序完成这一任务。所述PCI驱动程序能够捕获系统内对文件的操作(如文件的打开、复制、读写等)，也可以先将文件和文件的相关信息通过此驱动程序发送给安全虚拟机，从而进行检测或其他防病毒相关的工作。

如图1所示，在一个实施例中，提供了一种基于虚拟化环境的查杀方法，该方法具体包括以下步骤：

步骤102，接收文件的访问请求。

在步骤102中，客户端程序例如文件监控程序或者文件扫描程序等捕获到对文件的访问请求。

步骤104，根据文件的访问请求获得文件信息。