[发明专利]在形成分布式系统的虚拟机之间分布文件以执行防病毒扫描的系统和方法

说明书

一种在形成分布式系统的虚拟机之间分布文件以执行防病毒扫描的系统和方法。提供了用于在具有多个虚拟机的分布式网络中检测恶意文件的方法和系统。一种示例性方法包括：通过虚拟机确定并获得至少一个文件用以执行防病毒扫描；收集关于每个虚拟机的计算资源的特性的数据和关于防病毒扫描的参数；确定计算资源的特性的近似时间函数和一个或多个参数的近似函数，用以确定防病毒扫描的有效性的近似时间函数；以及至少基于防病毒扫描的有效性的近似时间函数，选择一个虚拟机执行防病毒扫描以确定至少一个文件是否为恶意的。

技术领域

本发明总体涉及网络安全的领域，以及更具体地涉及在虚拟机的分布式系统中检测恶意文件的系统和方法。

背景技术

计算机技术(包括云技术)在过去十年中的快速发展以及多种多样的计算设备(个人计算机、笔记本、平板电脑、智能手机等)的广泛使用已用作对于这些设备在人类活动的每个可能范围中的使用以及对于巨大量任务(从因特网冲浪和借助因特网的通信到银行转账和电子文件分发)的强力刺激。与计算设备的数量增长并行，在这些设备上运行的软件的容量也已以快节奏增长，包括恶意软件。

目前，存在巨大量的恶意程序品种。一些恶意程序可以从用户的设备窃取个人机密数据(诸如登录名和密码、银行资料、电子文件)。其它恶意程序可以形成所谓的僵尸网络，其使用暴力破解方法从用户的设备推测密码、或对其它计算机或计算机网络发起攻击，诸如拒绝服务(分布式拒绝服务，Distributed Denial of Service，DDOS)。另外的恶意程序可以通过侵略性广告、付费订阅、向付费手机号发送文本消息等将付费内容硬卖给用户。

防病毒程序可以用于击败恶意程序。有效的解决方案可以首先要求及时检测包含恶意程序的代码的文件，防病毒程序可以针对上述文件采用各种技术，诸如签名、启发式和前瞻性分析、黑白名单等等。上述技术中的每种技术在基于其检测某些恶意文件的潜在能力以及基于对该技术在其上运行的计算机系统的计算资源的需求检测恶意文件时可以具有其自身的有效性。

目前，由计算机系统处理的数据(包括文件)的容量如此之大使得由防病毒程序对该容量的数据进行的防病毒扫描可能花费很长时间并需要大量的计算资源，这对于个人计算机的用户而言是尤其重要的。因此，为了提高检测恶意文件的有效性，可以使用增加在其上进行对恶意文件的搜索的计算机系统的计算资源的方法。例如，可以使用分布式系统搜索恶意文件。这类系统可以包括多个服务器，并且在每个服务器上扫描需要扫描的文件的仅一部分。

当在执行文件的防病毒扫描的计算机系统上具有繁重工作量时或当参与文件的防病毒扫描的一些计算机系统出故障时，已知的操作方法可能不起作用。

发明内容

公开了在虚拟机的分布式系统中检测恶意文件的系统和方法。在一个示例性方面中，一种用于在具有多个虚拟机的分布式网络中检测恶意文件的方法，包括：通过所述多个虚拟机中的一个虚拟机确定并获得存储在所述虚拟机上的至少一个文件用以执行防病毒扫描；通过所述虚拟机收集关于所述多个虚拟机的计算资源的特性的数据和关于所述防病毒扫描的一个或多个参数；至少基于收集的数据确定所述多个虚拟机的所述计算资源的所述特性的近似时间函数和关于所述防病毒扫描的所述一个或多个参数的近似函数；至少基于所述计算资源的所述特性的所述近似时间函数和所述一个或多个参数的所述近似函数，确定所述防病毒扫描的有效性的近似时间函数；以及至少基于所述防病毒扫描的有效性的所述近似时间函数，从所述多个虚拟机中选择至少一个虚拟机执行所述防病毒扫描以确定所述至少一个文件是否为恶意的。

在另一个示例性方面中，选择所述至少一个虚拟机包括通过至少满足如下标准中的一者确定用于执行所述防病毒扫描的最有效的开始时间：所述防病毒扫描花费最少时间；所述防病毒扫描花费的时间比预计少；所述防病毒扫描将不晚于预计时间完成；需要所述虚拟机的最小数量的计算资源来执行所述防病毒扫描；或需要所述虚拟机的比预计少的计算资源来执行所述防病毒扫描。