[发明专利]在形成分布式系统的虚拟机之间分布文件以执行防病毒扫描的系统和方法

权利要求书

1.一种用于在具有多个受保护的虚拟机的分布式网络中检测恶意文件的方法，所述方法包括：

通过所述多个受保护的虚拟机中的第一受保护的虚拟机，从安装在所述第一受保护的虚拟机上的瘦客户端获得至少一个文件用以执行所述至少一个文件的防病毒扫描；

通过所述第一受保护的虚拟机收集关于所述多个受保护的虚拟机的计算资源的特性的数据和关于所述防病毒扫描的一个或多个参数；

基于关于所述计算资源的所述特性的所述数据的分析，确定所述多个受保护的虚拟机的所述计算资源的所述特性的近似时间函数；

至少基于所述计算资源的所述特性的所述近似时间函数和所述一个或多个参数的近似函数，确定所述防病毒扫描的有效性的近似时间函数，其中，通过将所述防病毒扫描的限定的特性与预定的标准进行比较来确定所述防病毒扫描的所述有效性；以及

至少基于所述防病毒扫描的有效性的所述近似时间函数，从所述多个受保护的虚拟机中选择至少一个受保护的虚拟机，以根据所述防病毒扫描的期望的有效性来执行所述防病毒扫描，从而确定所述至少一个文件是否为恶意的。

2.如权利要求1所述的方法，其中，所述选择至少一个受保护的虚拟机包括通过至少满足如下标准中的一者确定用于执行所述防病毒扫描的最有效的开始时间：

所述防病毒扫描花费最少时间；

所述防病毒扫描花费的时间比预计少；

所述防病毒扫描将不晚于预计时间完成；

需要所述虚拟机的最小数量的计算资源来执行所述防病毒扫描；或

需要所述虚拟机的比预计少的计算资源来执行所述防病毒扫描。

3.如权利要求1所述的方法，其中，所述选择至少一个受保护的虚拟机包括：

检测到所述至少一个受保护的虚拟机至少能够使用在预计时间槽中可用的计算资源执行所述至少一个文件的所述防病毒扫描；

在所述分布式网络中的所述多个受保护的虚拟机之中检测具有计算的最低工作负荷水平的所述至少一个受保护的虚拟机；

检测具有比建立的阈值低的计算的工作负荷水平的所述至少一个受保护的虚拟机；或

检测所述多个受保护的虚拟机中的不少于两个受保护的虚拟机，所述不少于两个受保护的虚拟机的计算的组合工作负荷水平小于所述多个受保护的虚拟机中的剩余虚拟机的组合工作负荷水平。

4.如权利要求1所述的方法，其中，所述收集关于所述多个受保护的虚拟机的计算资源的特性的数据包括如下项中的至少一者：

检测获得所述至少一个文件和确定所述至少一个文件是否为恶意的之间的时间段；

检测发送到所述受保护的虚拟机用于所述防病毒扫描的文件的数量；以及

确定所述多个受保护的虚拟机中的每个受保护的虚拟机的计算能力。

5.如权利要求1所述的方法，其中，关于所述防病毒扫描的所述一个或多个参数包括如下项中的至少一者：

用于检测被所述多个受保护的虚拟机使用的恶意文件的方法，用于检测被所述多个受保护的虚拟机使用的恶意文件的所述方法包括签名分析、启发式分析、仿真结果的分析、和黑白名单的分析中的至少一者；以及

用于执行所述防病毒扫描的所述多个受保护的虚拟机的计算资源的所述特性，

其中，用于检测被所述多个受保护的虚拟机使用的恶意文件的所述方法的参数包括：所述防病毒扫描的最大时间和被扫描的所述至少一个文件的仿真深度。

6.如权利要求5所述的方法，其中，用于检测被所述多个受保护的虚拟机使用的恶意文件的所述方法至少基于发生所述防病毒扫描所持续的最大时间和被扫描的文件的仿真深度来确定。

7.如权利要求1所述的方法，其中，所述多个受保护的虚拟机的所述计算资源的所述特性的所述近似时间函数至少基于收集的关于每个受保护的虚拟机的所述计算资源的所述特性的数据、每个受保护的虚拟机的在所选时间可访问的计算资源的特性、确定每个受保护的虚拟机的所述计算资源的特性的时间、以及确定每个受保护的虚拟机的所述计算资源的所述特性所需要的时间来确定。