[发明专利]一种实时防护文件的监控方法及装置

说明书

技术领域

本发明属于计算机数据安全领域，具体地说，涉及一种实时防护文件的监控方法及装置。

背景技术

由于互联网的发展，病毒传播的速度和范围都有了极大的增长。面对互联网上每天层出不穷的新病毒，各厂商们推出了各式各样的杀毒软件，每种都有各自得优势和缺点，为了更全面防护自己的电脑不受病毒侵害，用户往往希望在电脑上安装多个杀毒软件，以这些杀毒软件间的优势互补，来为自己的电脑提供更高程度的安全保障。

但事实却是：还没等到病毒发起进攻，电脑就已经倒在了各种杀毒软件的冲突之下。为了更高的安全度，绝大部分杀毒软件一般都提供实时防护功能。由于杀毒软件的实时防护功能通常需要接管操作系统的文件访问驱动，即对于操作系统中任何文件的访问都先由杀毒软件的文件访问驱动程序截获，在处理之后再传递给要访问该文件的应用程序。当安装两款以上杀毒软件时，多款杀毒软件的实时防护文件驱动要同时拦截对操作系统中同一文件的访问，这时杀毒软件之间就会产生冲突，因此通常会造成操作系统锁死而无法继续工作。

这就需要提出一种改进的实时防护文件监控机制，以解决多个杀毒软件共存和操作系统锁死的问题。

发明内容

有鉴于此，本发明所要解决的技术问题是提供了一种实时防护文件的监控方法及装置，解决了杀毒软件的文件访问驱动程序之间冲突的问题。

为了解决上述技术问题，本发明公开了一种实时防护文件的监控方法，应用于监控装置与其他装置同时监控到对操作系统中一文件的访问行为的情况，包括：所述监控装置监控到所述访问行为时，在数据表中记录所述文件并放行所述访问行为；所述监控装置轮询所述数据表，根据其中的记录查找所述文件并对其进行扫描，再根据扫描结果对所述访问行为进行拦截或保持放行。

进一步地，所述监控装置轮询所述数据表，根据所述数据表的记录查找所述文件并对其进行扫描，再根据扫描结果对所述文件的访问进行拦截或保持放行的步骤，包括第一子步骤：所述监控装置周期或实时轮询所述数据表，获取其中新增加的所述文件的标识，再根据所述数据表中记录的所述文件的标识与地址之间的映射关系确定所述文件在所述操作系统中的地址。

进一步地，所述周期的长度设置为至少保证所述其他装置对所述文件完成一次扫描。

进一步地，所述监控装置轮询所述数据表，根据所述数据表的记录查找所述文件并对其进行扫描，再根据扫描结果对所述文件的访问进行拦截或保持放行的步骤，包括第二子步骤：所述监控装置在所述操作系统的相应地址没有查找到所述文件，则在所述数据表中清除所述文件的标识和地址。

进一步地，所述监控装置轮询所述数据表，根据所述数据表的记录查找所述文件并对其进行扫描，再根据扫描结果对所述文件的访问进行拦截或保持放行的步骤，包括第二子步骤：所述监控装置在所述操作系统的相应地址查找到所述文件，如果扫描后发现所述文件安全，则对所述文件的访问保持放行；如果扫描后发现所述文件不安全，则拦截对所述文件的访问，并根据策略直接处理或询问用户对所述文件的处理。

为了解决上述技术问题，本发明还公开了一种实时防护文件的监控方法，应用于监控装置与其他装置同时监控到对操作系统中一文件的访问行为的情况，所述监控装置包括驱动侧和扫描侧，所述监控方法包括：所述驱动侧监控到对操作系统中一文件的访问行为时，在数据表中记录所述文件并放行所述访问行为；所述扫描侧轮询所述数据表，根据所述数据表的记录查找所述文件并对其进行扫描，并将扫描结果记录在所述数据表中；所述驱动侧读取所述数据表，根据所述扫描结果对所述文件的访问进行拦截或保持放行。

进一步地，所述驱动侧监控到对操作系统中一文件的访问行为，在数据表中记录所述文件，并放行对所述文件的访问的步骤，包括：所述驱动侧检查所述文件是否记录在所述数据表中，如果没有记录，将所述文件的标识和在所述操作系统中的地址记录到所述数据表中，放行对所述文件的访问行为。

进一步地，所述扫描侧轮询所述数据表，根据所述数据表的记录查找所述文件并对其进行扫描，并将扫描结果记录在所述数据表中的步骤，包括第一子步骤：所述扫描侧周期或实时轮询所述数据表，获取新增加的所述文件的标识，再根据所述数据表中记录的所述文件的标识与地址之间的映射关系确定所述文件在所述操作系统中的地址。

进一步地，所述周期的长度设置为至少保证所述其他装置对所述文件完成一次扫描。