[发明专利]一种恶意文件扫描方法、装置、设备及介质

说明书

本申请公开了一种恶意文件扫描方法、装置、设备及介质，该方法包括：创建扫描进程，并利用扫描进程中的目标线程对恶意文件进行扫描；监测当前目标线程的实时CPU占用率；判断实时CPU占用率是否大于目标CPU占用率；目标CPU占用率为允许目标线程占用的最大CPU使用率；若实时CPU占用率大于目标CPU占用率，则确定出与目标线程对应的挂起时间，然后基于挂起时间对目标线程进行挂起。本申请通过监测用于对恶意文件进行扫描的目标线程的实时CPU占用率，并根据实时CPU占用率和目标CPU占用率确定出与目标线程对应的挂起时间，对目标线程进行挂起，通过这种方式，降低了恶意文件扫描装置在扫描恶意文件时对系统CPU资源的占用。

技术领域

本发明涉及计算机领域，特别涉及一种恶意文件扫描方法、装置、设备及介质。

背景技术

当前，在某些场景下，比如常用来实现桌面云技术的虚拟桌面基础架构(即VDI，Virtual Desktop Infrastructure)场景，在该场景下，虚拟桌面基础架构可以根据用户数量来抽象操作系统，通过在数据中心的服务器运行Windows XP，将用户的桌面进行虚拟化。用户通过来自客户端设备的客户计算协议与虚拟桌面进行连接，使用户像访问传统的本地安装桌面一样的访问虚拟桌面。

然而，目前基于虚拟桌面基础架构环境下的恶意文件扫描系统或装置在运行时会影响到VDI的使用效率，恶意文件扫描装置在检测恶意文件时会占用较多的CPU资源，从而导致VDI的接入并发数减少，即导致同一时间段可访问服务器站点的连接数减少，影响了其它用户的正常使用。因此，如何解决恶意文件扫描装置在检测恶意文件时的CPU资源占用过高是目前广泛关注的问题。

发明内容

有鉴于此，本发明的目的在于提供一种恶意文件扫描方法、装置、设备及介质。其具体方案如下：

第一方面，本申请公开了一种恶意文件扫描方法，应用于终端检测响应平台EDR上的客户端agent，包括：

创建扫描进程，并利用所述扫描进程中的目标线程对恶意文件进行扫描；

监测当前所述目标线程的实时CPU占用率；

判断所述实时CPU占用率是否大于目标CPU占用率；所述目标CPU占用率为允许所述目标线程占用的最大CPU使用率；

若所述实时CPU占用率大于所述目标CPU占用率，则确定出与所述目标线程对应的挂起时间，然后基于所述挂起时间对所述目标线程进行挂起。

可选的，所述利用所述扫描进程中的目标线程对恶意文件进行扫描，包括：

通过所述扫描进程加载扫描配置；所述扫描配置包括扫描的文件类型和/或扫描模式和/或恶意文件处理方式；

利用所述扫描进程中的所述目标线程扫描恶意文件。

可选的，所述在加载扫描配置的步骤之前，包括：

获取本地预先设置的或所述终端检测响应平台EDR上的管理平台MGR预先设置的所述扫描配置。

可选的，所述获取本地预先设置的或所述终端检测响应平台EDR上的管理平台MGR预先设置的所述扫描配置，还包括：

在所述管理平台MGR上设有的用于对本地设置权限进行限制的配置锁处于开启状态时，则获取所述终端检测响应平台EDR上的管理平台MGR预先设置的所述扫描配置。

可选的，所述监测当前所述目标线程的实时CPU占用率，包括：

开启一个新线程作为监控线程并利用所述监控线程监测所述目标线程的实时CPU占用率；

相应地，所述判断所述实时CPU占用率是否大于目标CPU占用率之前，包括：