一种判断操作系统的缓存文件可信的方法和装置

文献发布时间：2024-04-18 20:01:30

技术领域

本申请涉及网络信息安全领域，并且更具体地，涉及网络信息安全领域中一种判断操作系统的缓存文件可信的方法和装置。

背景技术

随着网络技术的不断发展，越来越多的操作系统如雨后春笋般涌入大众视野，例如统一操作系统(Unity Operating System，UOS)、麒麟操作系统(例如银河麒麟操作系统、中标麒麟操作系统、中科方德操作系统)等。由于上述操作系统都是基于linux系统演化而来，因此同样具备linux系统“一切皆文件”的特点。为了提高查询速率，操作系统中通常会保存大量的缓存文件。因此，如何判断操作系统中存储的大量缓存文件的属性信息是否发生变化成为了迫在眉睫的问题。

一种可能的场景中，可以采用标准的键值对(key-value)方法，判断操作系统存储的缓存文件的属性信息是否发生变化。具体的过程为：首先将操作系统存储在固定存储区域(例如系统硬盘)的至少一个缓存文件以key-value的形式加载至缓存区域(例如内存)中。进一步在缓存区域中确定判断的缓存文件，确定该缓存文件对应的key值，判断该缓存文件的key值是否包括于缓存区域中的至少一个缓存文件的key值中，若该缓存文件的key值包括于缓存区域中的至少一个缓存文件的key值，则将该缓存文件的状态标记为“已命中”状态，表明该缓存文件的属性信息并未发生改变；反之则将该缓存文件的状态标记为“未命中”状态。为了提高缓存文件的缓存精确度，还可以通过获取已命中状态的缓存文件的文件内容来判断缓存文件的可信状态。

由于操作系统中的大部分缓存文件都具有极长的变更周期，所以大量缓存文件的存储可能会增加操作系统固定存储区域的存储压力。进一步地，缓存文件一般采用的是“空间换时间”的缓存方式，即牺牲数据的实时性，以操作系统固定存储区域中的缓存数据代替从数据库中读取新的数据。当文件信息需要横向覆盖很多场景和多个进程时，同一个文件可能会根据场景的不同以及进程的数量，同时缓存多份相同的缓存文件。当采用key-value的形式将存储缓存文件时，考虑到key-value结构的离散型特点，当缓存文件的数量达到百万级别甚至亿级别时，这种过滤方式会严重加剧操作系统固定存储区域和缓存区域的存储压力，超出操作系统固定存储区域或缓存区域的存储范围。

综上，如何在判断缓存信息是否发生变化过程中，缓解操作系统的存储压力成为了亟需解决的问题。

发明内容

本申请提供了一种判断操作系统的缓存文件可信的方法和装置，该方法有效减少了缓存文件的属性信息的占用空间，提高了操作系统中的固定存储区域以及缓存区域的空间利用率。

第一方面，提供了一种判断操作系统的缓存文件可信的方法，该操作系统在缓存区域存储有第一时刻的第一缓存文件，该第一缓存文件在该第一时刻对应第一缓存参数，该方法包括：获取该操作系统在第二时刻存储的该第一缓存文件，确定该第一缓存文件在该第二时刻的属性信息，该属性信息包括该第一缓存文件在该第二时刻对应的主设备号、从设备号、文件索引节点号、文件类型、时间标记信息、文件存储路径、文件后缀、文件名称、文件所在系统类别中的任意一种或多种属性信息；根据预设算法处理该第一缓存文件在该第二时刻的属性信息，得到该第一缓存文件在该第二时刻的第二缓存参数；判断该第二缓存参数是否与该第一缓存参数匹配；当该第二缓存参数与该第一缓存参数匹配时，将该操作系统在第二时刻存储的该第一缓存文件确定为已命中的缓存文件，该已命中的缓存文件用于指示该第一缓存文件为可信的缓存文件。

上述技术方案中，提出了一种对于操作系统的缓存文件可信状态的判断方法，具体是通过获取第一缓存文件在第二时刻的属性信息，将第一缓存文件在第二时刻的属性信息通过预设的算法进行处理，得到第一缓存文件在第二时刻的第二缓存参数，并将第一缓存文件在第二时刻的第二缓存参数与上一个时刻的缓存参数(即第一缓存参数)进行比对，从而根据比对结果确定缓存文件的可信状态。上述通过缓存参数进行比对的过程减少了系统输入输出(input/output，I/O)资源的损耗。通过预设算法对缓存文件的多个属性信息进行处理，当操作系统的缓存区域中的缓存文件数量非常多时，可以很大程度上缓解缓存区域的压力，提高缓存区域的空间利用率。

结合第一方面，在某些可能的实现方式中，该方法还包括：获取该操作系统在固定存储区域存储的该第一时刻的该第一缓存文件；确定该固定存储区域存储的该第一时刻的该第一缓存文件的存储类型；根据该固定存储区域存储的该第一时刻的该第一缓存文件的存储类型，将该固定存储区域存储的该第一时刻的该第一缓存文件加载至该缓存区域。

上述技术方案中，由于缓存文件在未查看的状态下，是先保存在固定存储区域中的，当需要对缓存文件进行过滤和判断时，首先需要将缓存文件从固定存储区域加载至缓存区域，以进一步判断缓存文件是否命中。本申请在将缓存文件从固定存储区域加载至缓存区域的过程中，先给缓存文件确定合适的存储类型，然后根据缓存文件的存储类型加载缓存文件。上述过程通过确定每一个缓存文件的存储类型，更好地对缓存文件进行系统化的管理，有效地减少了缓存文件的存储压力，提高了操作系统中的固定存储区域和缓存区域的空间利用率。

结合第一方面和上述实现方式，在某些可能的实现方式中，该判断该第二缓存参数是否与该第一缓存参数匹配，包括：根据该第一缓存文件在该第一时刻的存储类型，判断该第二缓存参数是否包括于M个缓存文件的缓存参数，该M个缓存文件为该第一缓存文件在该第一时刻的存储类型对应的缓存文件，M为大于或等于1的整数。

上述技术方案中，在判断缓存文件是否可信的过程中，通过将缓存文件在第二时刻的缓存参数与第一时刻的缓存参数进行比较，具体是根据缓存文件在第一时刻所确定的存储类型，基于每一种存储类型所包括的多个缓存文件中每一个缓存文件在第一时刻的缓存参数，从而判断缓存文件的第二缓存参数是否与多个缓存文件的缓存参数匹配成功，来判断缓存文件在第二时刻的第二缓存参数相比较于第一缓存参数是否发生了变化。上述通过缓存文件的不同的存储类型来判断缓存文件在第二时刻的第二缓存参数是否发生变化的方式，节省了比对缓存参数过程中的时间，有效提高了缓存文件的缓存参数的比对效率。

结合第一方面和上述实现方式，在某些可能的实现方式中，该方法还包括：判断该第一缓存文件在该第二时刻的属性信息是否满足预设排除策略；当该第一缓存文件在该第二时刻的属性信息满足该预设排除策略时，将该第一缓存文件确定为可信的缓存文件。

上述技术方案中，对于某一些特殊的缓存文件，例如保密类型的缓存文件，管理员会在操作系统中可以预设设置排除策略，只要当前的缓存文件满足预设排除策略，就默认为这些缓存文件直接为可信的缓存文件，不需要进行后面的判断，从而提高了缓存文件可信的判断效率。

结合第一方面和上述实现方式，在某些可能的实现方式中，该方法还包括：当该第二缓存参数与该第一缓存参数不匹配时，将该第一缓存文件确定为未命中的缓存文件；确定该第一缓存文件在该第二时刻未发生变更的属性信息；根据该第一缓存文件在该第二时刻未发生变更的属性信息，确定该操作系统在该缓存区域存储的L个缓存文件，该L个缓存文件中的每一个缓存文件均包括该未发生变更的属性信息，L为大于或等于1的整数；将该L个缓存文件确定为未命中的缓存文件，删除该L个缓存文件。

上述技术方案中，当缓存文件在第二时刻的第二缓存参数与第一时刻的第一缓存参数不匹配时，说明缓存文件在第二时刻的某些易变的属性信息发生了变更，因此需要先确定缓存文件在第二时刻时发生变更的属性信息和未发生变更的属性信息，从而根据未发生变更的属性信息确定出多个缓存文件进行删除，避免了缓存错误命中的情况。

结合第一方面和上述实现方式，在某些可能的实现方式中，删除该L个缓存文件之后，该方法还包括：获取第二缓存文件的文件内容，该第二缓存文件为该L个缓存文件中的任意一个缓存文件；判断该缓存文件的文件内容是否满足预设可信规则；当该第二缓存文件的文件内容不满足该预设可信规则时，将该第二缓存文件确定为不可信的缓存文件；当该第二缓存文件的文件内容满足该预设可信规则时，将该第二缓存文件确定为可信的缓存文件。

上述技术方案中，当删除多个缓存文件之后，只能表明多个缓存文件的属性信息发生了变更，但不代表多个缓存文件就一定是不可信的缓存文件。因此需要进一步获取多个缓存文件的文件内容进行准确的可信状态的判断，当多个缓存文件中的任意一个缓存文件的文件内容满足可信规则时，表明即使缓存文件的属性信息发生变更，但仍然是可信的缓存文件，避免了对于可信的缓存文件误删的场景，有效保证了每一个可信的缓存文件的准确判断过程。

结合第一方面和上述实现方式，在某些可能的实现方式中，将该第二缓存文件确定为可信的缓存文件之后，该方法还包括：确定该第二缓存文件在该第二时刻的存储类型；根据该第二缓存文件在该第二时刻的存储类型，将该第二缓存文件存储在该缓存区域；根据预设更新周期，将该缓存区域存储的该第二缓存文件同步至固定存储区域。

上述技术方案中，在判断删除的多个缓存文件中有可信的缓存文件时，还需要将该缓存文件重新存储至当前的缓存区域中，并且根据更新的时间周期，将当前的缓存区域中的缓存文件同步更新至固定存储区域，保证了在每一次判断过滤过程中，固定存储区域和缓存区域中的缓存文件的一致性，提高整个判断过程中的准确性。

综上，本申请提出了一种对于操作系统的缓存文件可信状态的判断方法，具体是通过获取第一缓存文件在第二时刻的属性信息，将第一缓存文件在第二时刻的属性信息通过预设的算法进行处理，得到第一缓存文件在第二时刻的第二缓存参数，并将第一缓存文件在第二时刻的第二缓存参数与上一个时刻的缓存参数(即第一缓存参数)进行比对，从而根据比对结果确定缓存文件的可信状态。上述通过缓存参数进行比对的过程减少了系统I/O资源的损耗。通过预设算法对缓存文件的多个属性信息进行处理，当操作系统的缓存区域中的缓存文件数量非常多时，可以很大程度上缓解缓存区域的压力，提高缓存区域的空间利用率。

此外，由于缓存文件在未查看的状态下，是先保存在固定存储区域中的，当需要对缓存文件进行过滤和判断时，首先需要将缓存文件从固定存储区域加载至缓存区域，以进一步判断缓存文件是否命中。本申请在将缓存文件从固定存储区域加载至缓存区域的过程中，先给缓存文件确定合适的存储类型，然后根据缓存文件的存储类型加载缓存文件。上述过程通过确定每一个缓存文件的存储类型，更好地对缓存文件进行系统化的管理，有效地减少了缓存文件的存储压力，提高了操作系统中的固定存储区域和缓存区域的空间利用率。

具体的，在判断缓存文件是否可信的过程中，通过将缓存文件在第二时刻的缓存参数与第一时刻的缓存参数进行比较，具体是根据缓存文件在第一时刻所确定的存储类型，基于每一种存储类型所包括的多个缓存文件中每一个缓存文件在第一时刻的缓存参数，从而判断缓存文件的第二缓存参数是否与多个缓存文件的缓存参数匹配成功，来判断缓存文件在第二时刻的第二缓存参数相比较于第一缓存参数是否发生了变化。上述通过缓存文件的不同的存储类型来判断缓存文件在第二时刻的第二缓存参数是否发生变化的方式，节省了比对缓存参数过程中的时间，有效提高了缓存文件的缓存参数的比对效率。

应理解，对于某一些特殊的缓存文件，例如保密类型的缓存文件，管理员会在操作系统中可以预先设置预设排除策略，只要当前的缓存文件满足预设排除策略，就默认为这些缓存文件直接为可信的缓存文件，不需要进行后面的判断，从而提高了缓存文件可信的判断效率。

另一种可能的场景中，当缓存文件在第二时刻的第二缓存参数与第一时刻的缓存参数不匹配时，说明缓存文件在第二时刻的某些易变的属性信息发生了变更，因此需要先确定缓存文件在第二时刻时发生变更的属性信息和未发生变更的属性信息，从而根据未发生变更的属性信息确定出多个缓存文件进行删除，避免了缓存错误命中的情况。

当删除多个缓存文件之后，只能表明多个缓存文件的属性信息发生了变更，但不代表多个缓存文件就一定是不可信的缓存文件。因此需要进一步获取多个缓存文件的文件内容进行准确的可信状态的判断，当多个缓存文件中的任意一个缓存文件的文件内容满足可信规则时，表明即使缓存文件的属性信息发生变更，但仍然是可信的缓存文件，从而避免了对于可信的缓存文件误删的场景，有效保证了每一个可信的缓存文件的准确判断过程。

最后，在判断删除的多个缓存文件中有可信的缓存文件时，还需要将该缓存文件重新存储至当前的缓存区域中，并且根据更新的时间周期，将当前的缓存区域中的缓存文件同步更新至固定存储区域，保证了在每一次判断过滤过程中，固定存储区域和缓存区域中的缓存文件的一致性，提高整个判断过程中的准确性。

第二方面，提供了一种判断操作系统的缓存文件可信的装置，应用于一种操作系统，该操作系统在缓存区域存储有第一时刻的第一缓存文件，该第一缓存文件在该第一时刻对应第一缓存参数，该装置包括：第一处理模块，用于获取该操作系统在第二时刻存储的该第一缓存文件，确定该第一缓存文件在该第二时刻的属性信息，该属性信息包括该第一缓存文件在该第二时刻对应的主设备号、从设备号、文件索引节点号、文件类型、时间标记信息、文件存储路径、文件后缀、文件名称、文件所在系统类别中的任意一种或多种属性信息；第二处理模块，用于根据预设算法处理该第一缓存文件在该第二时刻的属性信息，得到该第一缓存文件在该第二时刻的第二缓存参数；第三处理模块，用于判断该第二缓存参数是否与该第一缓存参数匹配；当该第二缓存参数与该第一缓存参数匹配时，将该操作系统在第二时刻存储的该第一缓存文件确定为已命中的缓存文件，该已命中的缓存文件用于指示该第一缓存文件为可信的缓存文件。

结合第二方面，在某些可能的实现方式中，该装置还包括：第四处理模块，用于获取该操作系统在固定存储区域存储的该第一时刻的该第一缓存文件；确定该固定存储区域存储的该第一时刻的该第一缓存文件的存储类型；根据该固定存储区域存储的该第一时刻的该第一缓存文件的存储类型，将该固定存储区域存储的该第一时刻的该第一缓存文件加载至该缓存区域。

结合第二方面和上述实现方式，在某些可能的实现方式中，该第三处理模块具体用于：根据该第一缓存文件在该第一时刻的存储类型，判断该第二缓存参数是否包括于M个缓存文件的缓存参数，该M个缓存文件为该第一缓存文件在该第一时刻的存储类型对应的缓存文件，M为大于或等于1的整数。

结合第二方面和上述实现方式，在某些可能的实现方式中，该装置还包括：第五处理模块，用于判断该第一缓存文件在该第二时刻的属性信息是否满足预设排除策略；当该第一缓存文件在该第二时刻的属性信息满足该预设排除策略时，将该第一缓存文件确定为可信的缓存文件。

结合第二方面和上述实现方式，在某些可能的实现方式中，该装置还包括：第六处理模块，用于当该第二缓存参数与该第一缓存参数不匹配时，将该第一缓存文件确定为未命中的缓存文件；确定该第一缓存文件在该第二时刻未发生变更的属性信息；根据该第一缓存文件在该第二时刻未发生变更的属性信息，确定该操作系统在该缓存区域存储的L个缓存文件，该L个缓存文件中的每一个缓存文件均包括该未发生变更的属性信息，L为大于或等于1的整数；将该L个缓存文件确定为未命中的缓存文件，删除该L个缓存文件。

结合第二方面和上述实现方式，在某些可能的实现方式中，删除该L个缓存文件之后，该装置还包括：第七处理模块，用于获取第二缓存文件的文件内容，该第二缓存文件为该L个缓存文件中的任意一个缓存文件；判断该缓存文件的文件内容是否满足预设可信规则；当该第二缓存文件的文件内容不满足该预设可信规则时，将该第二缓存文件确定为不可信的缓存文件；当该第二缓存文件的文件内容满足该预设可信规则时，将该第二缓存文件确定为可信的缓存文件。

结合第二方面和上述实现方式，在某些可能的实现方式中，将该第二缓存文件确定为可信的缓存文件之后，该装置还包括：第八处理模块，用于确定该第二缓存文件在该第二时刻的存储类型；根据该第二缓存文件在该第二时刻的存储类型，将该第二缓存文件存储在该缓存区域；根据预设更新周期，将该缓存区域存储的该第二缓存文件同步至固定存储区域。

第三方面，提供一种电子设备，包括存储器和处理器。该存储器用于存储可执行程序代码，该处理器用于从存储器中调用并运行该可执行程序代码，使得该电子设备执行上述第一方面或第一方面任意一种可能的实现方式中的方法。

第四方面，提供了一种计算机程序产品，该计算机程序产品包括：计算机程序代码，当该计算机程序代码在计算机上运行时，使得该计算机执行上述第一方面或第一方面任意一种可能的实现方式中的方法。

第五方面，提供了一种计算机可读存储介质，该计算机可读存储介质存储有计算机程序代码，当该计算机程序代码在计算机上运行时，使得该计算机执行上述第一方面或第一方面任意一种可能的实现方式中的方法。

附图说明

图1是本申请实施例提供的一种判断操作系统的缓存文件可信的方法的示意性流程图；

图2是本申请实施例提供的一种第一次判断操作系统的缓存文件可信的方法的示意性流程图；

图3是本申请实施例提供的另一种判断操作系统的缓存文件可信的方法的示意性流程图；

图4是本申请实施例提供的一种判断第一缓存参数是否与第二缓存参数匹配的场景示意图；

图5是本申请实施例提供的另一种判断操作系统的缓存文件可信的方法的示意性流程图；

图6是本申请实施例提供的一种判断操作系统的缓存文件可信的装置的结构示意图；

图7是本申请实施例提供的一种电子设备的结构示意图。

具体实施方式

下面将结合附图，对本申请中的技术方案进行清楚、详尽地描述。其中，在本申请实施例的描述中，除非另有说明，“/”表示或的意思，例如，A/B可以表示A或B：文本中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况，另外，在本申请实施例的描述中，“多个”是指两个或多于两个。

以下，术语“第一”、“第二”仅用于描述目的，而不能理解为暗示或暗示相对重要性或隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者多个该特征。

图1是本申请实施例提供的一种判断操作系统的缓存文件可信的方法的示意性流程图。

可选的，本申请实施例中的操作系统可以为UOS、麒麟操作系统(例如银河麒麟操作系统、中标麒麟操作系统、中科方德操作系统中的任意一种或多种操作系统)。此外，该方法还可以配合系统级的文件监控系统使用，本申请实施例对操作系统的类型和数量不作具体限定。

还应理解，该方法的应用场景包括防病毒、审计类产品中，特别是运行在国产化服务器上终端类防护产品，例如存储类服务器上的文件病毒查杀。

示例性的，如图1所示，该方法100包括：

101，获取操作系统在第二时刻存储的第一缓存文件，确定第一缓存文件在第二时刻的属性信息，属性信息包括第一缓存文件在第二时刻对应的主设备号、从设备号、文件索引节点号、文件类型、时间标记信息、文件存储路径、文件后缀、文件名称、文件所在系统类别中的任意一种或多种属性信息。

102，根据预设算法处理第一缓存文件在第二时刻的属性信息，得到第一缓存文件在第二时刻的第二缓存参数。

在第一缓存文件的判断过程中，首先需要设定预设搜索范围，其中预设搜索范围包括快速搜索或者深度搜索，通过设定搜索范围可以得到多个该预设搜索范围内的缓存文件，第一缓存文件就是该预设搜索范围中的多个缓存文件中的任意一个缓存文件。

应理解，本申请实施例在判断第一缓存文件是否可信时，主要依赖于第一缓存文件上一次(即第一时刻)的缓存参数，但如果是首次判断第一缓存文件是否可信时，没有上一次或者第一时刻的缓存参数的比较基础，则需要在第一次判断过程中先根据第一缓存文件的文件内容判断第一缓存文件是否可信，只有第一缓存文件是可信时，才可以将第一缓存文件存储在固定存储区域以进行下一次(即第二时刻)判断的过程。

下面本申请实施例对第一次判断缓存文件可信的过程进行详细的介绍。

图2是本申请实施例提供的一种第一次判断操作系统的缓存文件可信的方法的示意性流程图。

示例性的，如图2所示，该方法200包括：

201，获取第一缓存文件的属性信息。

在第一次判断过程中，直接获取操作系统的缓存区域中的第一缓存文件的属性信息。

可选的，第一缓存文件的属性信息包括第一缓存文件对应的主设备号、从设备号、文件索引节点号、文件类型、时间标记信息、文件存储路径、文件后缀、文件名称、文件所在系统类别等。其中，文件所在系统类别包括日志文件系统、网络文件系统，时间标记信息包括第一缓存文件对应的最后修改时间、最后打开时间等，在本申请实施例中，时间标记信息主要指的是缓存文件的最后修改时间。

具体的，第一缓存文件的属性信息可以按照重要等级，划分为第一类属性信息和第二类属性信息。第一类属性信息包括文件存储路径、文件后缀、文件所在系统类别；主设备号、从设备号、文件索引节点号、文件类型、时间标记信息可以看作第二类属性信息。第二类属性信息的重要等级高于第一类属性信息的重要等级。

一种可能的实现方式中，本申请实施例中还可以增加缓存文件的属性信息，例如可以引入缓存文件对应的订单信息以及用户信息等属性，还可以增加例如机器学习计算需要的属性。

202，判断第一缓存文件的属性信息是否满足预设排除策略。

应理解，预设排除策略可以在设定好预设搜索范围之后就提前设置好，预设排除策略可以理解为用户指定跳过的缓存文件信息有关的排除规则，例如与存储路径信息或缓存文件标识信息相关的排除规则。

当第一缓存文件的属性信息满足预设排除策略时，可以认为第一缓存文件是可信的缓存文件，进一步直接跳过对缓存文件的可信状态的判断。判断第一缓存文件的属性信息是否满足预设排除策略主要是根据第一缓存文件的第一类属性信息来进行初步筛选判断的。

可选的，预设排除策略的模式可以为精确匹配模式或者模糊匹配模式，其中，预设排除策略涉及的匹配算法为使用多模式字符串匹配算法融合普通匹配算法及位图算法的信任项模糊匹配算法，或者是基于简单哈希表的全量匹配算法。

示例性的，无论是精确匹配模式还是模糊匹配模式的排除策略，都可以基于关键词和特殊符号匹配。

一种可能的实现方式中，例如缓存文件的文件后缀中如果有感叹号，则表明该缓存文件不符合预设排除策略；或者缓存文件的文件后缀中有不合法的字符，则判断该缓存文件不符合预设排除策略。

当第一缓存文件的属性信息满足预设排除策略时，执行步骤203。

203，将第一缓存文件确定为可信的缓存文件，并将第一缓存文件存储至缓存区域。

当第一缓存文件的属性信息不满足预设排除策略时，执行步骤204至205。

204，根据预设算法处理第一缓存文件的属性信息，得到第一缓存文件的初始缓存参数。

当第一缓存文件的属性信息不满足预设排除策略时，则需要进一步缓存文件的缓存参数进行可信状态的判断。具体可以根据第一次获取的第一缓存文件的第二类属性信息，通过预设算法进行处理，得到第一缓存文件的初始缓存参数。其中，在第一次获取的第一缓存文件的第二类属性信息按照不同层次可以分为：主设备号和从设备号为属性1；文件索引节点号为属性2；文件类型为属性3；时间标记信息为属性4。其中，缓存文件的属性信息是分层递进式(阶梯式)的，即属性1/属性2/属性3/属性4这样的层次，从而基于属性1、属性2、属性3、属性4的排列层次，对属性1/属性2/属性3/属性4按照预设算法处理，得到第一缓存文件对应的初始缓存参数。

205，获取第一缓存文件的文件内容。

206，判断第一缓存文件的文件内容是否满足预设可信规则。

应理解，在步骤204中，通过预设算法得到了第一缓存文件的初始缓存参数之后，需要通过第一缓存文件的文件内容和预设可信规则，判断第一缓存文件是否为可信的缓存文件。当第一缓存文件的文件内容满足预设可信规则时，将第一缓存文件确定为可信的缓存文件，并存储第一缓存文件，第一缓存文件对应初始缓存参数；否则将第一缓存文件直接确定为不可信的缓存文件。

当第一缓存文件的文件内容满足预设可信规则时，执行步骤207至208。

207，确定第一缓存文件的存储类型，根据第一缓存文件的存储类型，将第一缓存文件存储至缓存区域，第一缓存文件对应初始缓存参数。

208，根据预设更新周期，将缓存区域存储的第一缓存文件同步至固定存储区域。

当步骤206判断出第一缓存文件是可信的缓存文件时，可以确定第一缓存文件的存储类型，并根据第一缓存文件的存储类型，将第一缓存文件存储至缓存区域，缓存区域中存储的第一缓存文件对应初始缓存参数。

可选的，存储类型可以为密集型存储或离散型存储。密集型存储可以理解为连续型存储，密集型存储的方式可以包括位图存储、压缩位图存储；离散型存储的方式包括key-value存储、离散数组的存储、分区存储、分页存储等。

进一步，在第一次将第一缓存文件存储至缓存区域之后，根据预设更新周期，将缓存区域存储的第一缓存文件同步至固定存储区域，以便于下一次判断过程中加载第一缓存文件。

可选的，在同步更新的过程中，可以采取单独更新原则，即只要缓存区域中的缓存文件发生变更，就更新至固定存储区域；也可以采取整体更新原则，即将缓存区域中的所有的缓存文件判断完成之后，再一次性更新至固定存储区域，本申请实施例对更新的方式不做具体限定。

当第一缓存文件的文件内容不满足预设可信规则时，执行步骤209。

209，删除第一缓存文件。

当第一缓存文件不满足预设可信规则时，表明第一缓存文件为不可信的缓存文件，不可信的缓存文件不需要存储在缓存区域，直接删除即可。

应理解，通过第一次的判断过程，只有当第一缓存文件是可信的缓存文件时，才可以按照本申请实施例提供的方法在下一次(第二时刻)继续判断第一缓存文件是否可信。

还应理解，由于每一次判断结束之后，都会将第一缓存文件存储在操作系统中的固定存储区域(例如系统的硬盘)，在下一次进行第一缓存文件可信状态的判断时，需要先将上一次(即第一时刻)操作系统存储在固定存储区域中的第一缓存文件加载至缓存区域(例如内存)中，然后进一步获取第一缓存文件在第二时刻的属性信息以进行判断。也就是说，本申请在获取操作系统在第二时刻存储的第一缓存文件时，缓存区域中已经存储有第一时刻的第一缓存文件，并且第一缓存文件在第一时刻对应第一缓存参数。

还应理解，固定存储区域存储的第一缓存文件可以来源于缓存规则文件，例如默认符合可信规则的缓存文件；也可以是基于业务的闲时/主动/被动检测可信状态逻辑，即缓存文件的各种检测审计类行为，例如缓存文件扫描的主动检测、缓存文件按扫描的闲时或者定时检测(例如本申请实施例中的每一次判断过程)、缓存文件实时防护的变动文件检测、缓存文件防护的文件内容审计等，通过上述过程，可以将可信的第一缓存文件存储在固定存储区域。

一种可能的实现方式中，本申请实施例在将第一时刻的第一缓存文件从固定存储区域加载至缓存区域时，具体包括：

获取操作系统在固定存储区域存储的第一时刻的第一缓存文件；

确定固定存储区域存储的第一时刻的第一缓存文件的存储类型；

根据固定存储区域存储的第一时刻的第一缓存文件的存储类型，将固定存储区域存储的第一时刻的第一缓存文件加载至缓存区域。

进一步，在将第一时刻的第一缓存文件从固定存储区域加载至缓存区域之后，就可以获取操作系统在第二时刻存储的第一缓存文件并确定第一缓存文件在第二时刻的属性信息。其中，属性信息与第一次获取的第一缓存文件的属性信息的类别完全相同，具体参见步骤201的文字部分，此处不再赘述。

一种可能的实现方式中，在获取到第一缓存文件在第二时刻的属性信息后，可以先根据第一缓存文件在第二时刻的属性信息进行初步的筛选和判断，即判断第一缓存文件在第二时刻的属性信息是否满足预设排除策略，具体包括：

判断第一缓存文件在第二时刻的属性信息是否满足预设排除策略；

当第一缓存文件在第二时刻的属性信息满足预设排除策略时，将第一缓存文件确定为可信的缓存文件。

与第一次判断过程同理，判断第一缓存文件在第二时刻的属性信息是否满足预设排除策略主要是根据第一缓存文件在第二时刻的第一类属性信息来进行初步筛选判断的。

上述技术方案中，对于某一些特殊的缓存文件，例如保密类型的缓存文件，管理员会在操作系统中可以预先设置排除策略，只要当前的缓存文件满足排除策略，就默认为这些缓存文件直接为可信的缓存文件，不需要进行后面的判断，从而提高了缓存文件可信的判断效率。

当第一缓存文件的第一类属性信息不满足预设排除策略时，则需要通过预设算法对第一缓存文件在第二时刻的第二类属性信息处理，得到第一缓存文件在第二时刻对应的第二缓存参数。具体是将第一缓存文件在第二时刻的属性1/属性2/属性3/属性4按照预设算法处理，得到第一缓存文件在第二时刻对应的第二缓存参数。

103，判断第二缓存参数是否与第一缓存参数匹配。

在步骤102中，通过预设算法处理得到第一缓存文件在第二时刻对应的第二缓存参数之后，通过将第二缓存参数与第一缓存参数进行匹配来完成缓存文件的可信判断过程。

具体的，可以根据获取的第一缓存文件在第一时刻的存储类型，判断第一缓存参数是否包括于M个缓存文件的缓存参数，其中，M个缓存文件为第一缓存文件在第一时刻的存储类型对应的缓存文件，M为大于或等于1的整数。

应理解，无论是密集型存储还是离散型存储，每一种存储方式或存储类型都对应存储了多个缓存文件。其中，多个缓存文件中的每一个缓存文件都对应唯一的缓存参数。因此通过判断第一缓存文件的第二缓存参数是否在其对应的存储类型所对应的多个缓存文件的缓存参数中，即可得到第二缓存参数是否与第一缓存参数匹配的结论。

图3是本申请实施例提供的另一种判断操作系统的缓存文件可信的方法的示意性流程图。

示例性的，如图3所示，该方法300包括：

301，步骤301与步骤102都是得到第一缓存文件在第二时刻的第二缓存参数的过程，且具体过程完全相同，此处不再赘述。

302，获取第一缓存文件在第一时刻的存储类型。

应理解，当前缓存区域中的第一缓存文件是将固定存储区域存储的第一时刻的第一缓存文件按照一定的存储类型加载得到的，因此可以直接在缓存区域获取第一时刻的第一缓存文件的存储类型。

303，步骤303与步骤103都是判断第二缓存参数与第一缓存参数是否匹配的过程，具体可参见步骤103的文字部分，此处不再赘述。

104，当第二缓存参数与第一缓存参数匹配时，将操作系统在第二时刻存储的第一缓存文件确定为已命中的缓存文件，已命中的缓存文件用于指示第一缓存文件为可信的缓存文件。

一种可能的场景中，当第二缓存参数与第一缓存参数匹配时，则表明第一缓存文件在第二时刻的属性信息相对于第一缓存文件在第一时刻的属性信息未发生变化，即第一缓存文件在第二时刻为已命中的缓存文件，表示第一缓存文件为可信的缓存文件。

示例性的，结合图3，步骤303匹配成功则执行步骤304。

304，步骤304和步骤104完全相同，都表达的是当第二缓存参数与第一缓存参数匹配时对应的执行过程，可参见步骤104。

图4是本申请实施例提供的一种判断第二缓存参数是否与第一缓存参数匹配的场景示意图。

示例性的，如图4所示，椭圆401表示的是密集型存储方式，密集型存储通常是连续型存储结构，例如椭圆401中包括的1、2、3、4、5、6，其中，每一个数字代表一个缓存文件在第一时刻的缓存参数；椭圆402表示的是离散型存储方式，离散型存储通常是分区或者分块式的存储，例如椭圆402中的椭圆4021表示一个子存储区，存储有缓存参数1、2、3；同理，椭圆4022表示另一个子存储区，存储有缓存参数4、5、6。

进一步，通过预设算法得到第一缓存文件在第二时刻的第二缓存参数之后，如果第一缓存文件的存储类型为密集型存储，则将第二缓存参数与椭圆401中的1、2、3、4、5、6这六个缓存参数进行匹配；如果第一缓存文件的存储类型为离散型存储，则分别将第二缓存参数与椭圆4021中的缓存参数1、2、3以及椭圆4022中的缓存参数4、5、6进行匹配。

另一种可能的场景中，当第二缓存参数与第一缓存参数不匹配时，表示第一缓存文件在第二时刻的属性信息相对于第一时刻的属性信息可能发生了变更，此时需要先确定第一缓存文件在第二时刻发生变更的属性信息和未发生变更的参数信息。

示例性的，结合图3，当第二缓存参数与第一缓存参数不匹配时，此处的执行步骤参见图3中的步骤305至步骤308。

305，当第二缓存参数与第一缓存参数不匹配时，将第一缓存文件确定为未命中的缓存文件。

306，确定第一缓存文件在第二时刻未发生变更的属性信息。

307，根据第一缓存文件在第二时刻未发生变更的属性信息，确定操作系统在缓存区域存储的L个缓存文件，L个缓存文件中的每一个缓存文件均包括未发生变更的属性信息，L为大于或等于1的整数。

308，将L个缓存文件确定为未命中的缓存文件，删除L个缓存文件。

由于第一缓存文件的第二缓存参数是根据第一缓存文件的第二类属性信息处理得到，也就是说，在第二时刻的第一缓存文件的第二类属性(属性1、属性2、属性3、属性4)中，存在某个属性信息发生变更。

示例性的，假如将第一缓存文件中的属性4“时间标记信息”标记为易发生变更的属性信息，属性4在本申请实施例中通常指的是缓存文件对应的最后修改时间。那么当缓存文件的属性4发生变更时，说明缓存文件的文件内容被修改，因此需要将缓存区域中的多个缓存文件中，与第一缓存文件的属性1、属性2和属性3相同的所有的缓存文件都确定为未命中或者是失效的缓存文件，需要将未命中或者失效的文件删除。

上述技术方案中，当缓存文件在第二时刻的第二缓存参数与第一时刻的缓存参数不匹配时，说明缓存文件在第二时刻的某些易变的属性信息发生了变更，因此需要先确定缓存文件在第二时刻时发生变更的属性信息和未发生变更的属性信息，从而根据未发生变更的属性信息确定出多个缓存文件进行删除，避免了缓存错误命中的情况。

应理解，未命中的缓存文件的文件内容被修改，但是并不代表未命中的缓存文件一定就是不可信的缓存文件。也就是说，删除之后的多个缓存文件的可信状态是未知的，为了避免误删，需要进一步通过文件内容去精确判断被删除的缓存文件的可信状态。

一种可能的实现方式中，在判断未命中的缓存文件的可信状态时，具体包括：

获取第二缓存文件的文件内容，第二缓存文件为L个缓存文件中的任意一个缓存文件；

判断第二缓存文件的文件内容是否满足预设可信规则；

当第二缓存文件的文件内容不满足预设可信规则时，将第二缓存文件确定为不可信的缓存文件；

当第二缓存文件的文件内容满足预设可信规则时，将第二缓存文件确定为可信的缓存文件。

上述技术方案中，当删除多个缓存文件之后，只能表明多个缓存文件的属性信息发生了变更，但不代表多个缓存文件就一定是不可信的缓存文件。因此需要进一步获取多个缓存文件的文件内容进行准确的可信状态的判断，当多个缓存文件中的任意一个缓存文件的文件内容满足可信规则时，表明即使缓存文件的属性信息发生变更，但仍然是可信的缓存文件，从而避免了对于可信的缓存文件误删的场景，有效保证了每一个可信的缓存文件的准确判断过程。

进一步，在根据删除之后的缓存文件的文件内容确定缓存文件是可信的缓存文件后，还需要将缓存文件重新添加至当前的缓存区域中，具体包括：

确定第二缓存文件在第二时刻的存储类型；

根据第二缓存文件在第二时刻的存储类型，将第二缓存文件存储在缓存区域；

根据预设更新周期，将缓存区域存储的第二缓存文件同步至固定存储区域。

在第二缓存文件判断是可信的缓存文件之后，需要将第二缓存文件重新添加至缓存区域，在重新添加的过程中，需要先确定第二缓存文件的存储类型，并根据第二缓存文件的存储类型，将第二缓存文件存储在缓存区域。

应理解，为了保证缓存区域和固定存储区域之间的缓存文件的一致性，当缓存区域中的缓存文件发生变化时，需要进一步同步更新至固定存储区域。更新的具体过程与步骤208相同，此处不再详细说明。

此外，由于同一个缓存文件可能对应多个使用者，即同一个主机下的多进程对象，同一个进程下的多线程对象等，在将缓存区域存储的缓存文件更新至固定存储区域之后，还需要使用同步机制将缓存文件同步更新至该缓存文件对应的多个使用者。

还应理解，本申请实施例中的每一个缓存文件的存储类型不是固定不变的，会根据缓存区域中的多个缓存文件进行适当的调整，例如来源于同一个文件系统类别的相邻缓存节点的两个缓存文件，适合连续型的存储类型；对于来源于不同文件系统类别中的两个缓存文件，更适合采用key-value形式进行存储。其中，每一个缓存节点可以存储一个缓存文件。本申请实施例中，还可以以32位为基数，扩展缓存节点大小以存储更多的属性信息。又例如当缓存区域中的缓存文件的数量发生变化(例如某些缓存文件为不可信的缓存文件被从缓存区域删除或者某些缓存文件为可信的缓存文件被添加至缓存区域)，可以重新基于当前缓存区域中的每一个缓存文件，确定每一个缓存文件的存储类型。因此，为了保证每一个缓存文件存储类型的准确性，在每一次将缓存文件从固定存储区域加载至缓存区域时，需要重新确定每一个缓存文件的存储类型。

为了方便理解，下面将判断第一缓存文件是否可信的整个流程进行详细的介绍。

图5是本申请实施例提供的一种判断操作系统的缓存文件可信的方法的示意性流程图。

示例性的，如图5所示，该方法500包括：

501，设定预设搜索范围，设置预设排除策略。

502，，确定第一缓存文件在第二时刻的属性信息。

应理解，获取操作系统在第二时刻存储的第一缓存文件之前，首先需要将将固定存储区域中的第一时刻的第一缓存文件加载至缓存区域。

503，判断第一缓存文件在第二时刻的属性信息是否满足预设排除策略。

当第一缓存文件在第二时刻的属性信息满足预设排除策略，执行步骤504。

504，将第一缓存文件确定为可信的缓存文件。

当第一缓存文件的属性信息满足预设排除策略时，直接将第一缓存文件确定为可信的缓存文件。

当第一缓存文件属性信息不满足预设排除策略时，执行步骤505。

505，判断第二缓存参数是否与第一缓存参数匹配。

应理解，在步骤502获取了第一缓存文件在第二时刻的属性信息之后，可以根据预设算法处理，得到第一缓存文件在第二时刻的第二缓存参数。此外，由于步骤502中已经提前将固定存储区域存储的第一时刻的第一缓存文件加载至缓存区域，因此缓存区域中存储有第一缓存文件在第一时刻的第一缓存参数。基于第一缓存文件的第一缓存参数和第二缓存参数，可以判断第二缓存参数是否与第一缓存参数匹配。

当第二缓存参数与第一缓存参数匹配时，执行步骤506。

506，将操作系统在第二时刻存储的第一缓存文件确定为已命中的缓存文件。

当第二缓存参数与第一缓存参数匹配时，表明第一缓存文件是可信的缓存文件。

当第二缓存参数与第一缓存参数不匹配时，执行步骤507至513。

507，确定第一缓存文件在第二时刻未发生变更的属性信息。

508，根据第一缓存文件在第二时刻未发生变更的属性信息，确定操作系统在缓存区域存储的L个缓存文件。

509，判断第二缓存文件的文件内容是否满足预设可信规则。

当第二缓存文件的文件内容不满足预设可信规则时，执行步骤510至513。

510，将第二缓存文件确定为可信的缓存文件。

511，确定第二缓存文件的存储类型。

512，根据第二缓存文件的存储类型，将第二缓存文件存储至缓存区域。

513，根据预设更新周期，将缓存区域存储的第二缓存文件同步至固定存储区域。

当第二缓存文件的文件内容满足预设可信规则时，执行步骤514。

514，将第二缓存文件确定为不可信的缓存文件。

图6是本申请实施例提供的一种判断操作系统的缓存文件可信的装置的结构示意图。

示例性的，如图6所示，该装置600包括：

第一处理模块601，用于获取该操作系统在第二时刻存储的该第一缓存文件，确定该第一缓存文件在该第二时刻的属性信息，该属性信息包括该第一缓存文件在该第二时刻对应的主设备号、从设备号、文件索引节点号、文件类型、时间标记信息、文件存储路径、文件后缀、文件名称、文件所在系统类别中的任意一种或多种属性信息；

第二处理模块602，用于根据预设算法处理该第一缓存文件在该第二时刻的属性信息，得到该第一缓存文件在该第二时刻的第二缓存参数；

第三处理模块603，用于判断该第二缓存参数是否与该第一缓存参数匹配；当该第二缓存参数与该第一缓存参数匹配时，将该操作系统在第二时刻存储的该第一缓存文件确定为已命中的缓存文件，该已命中的缓存文件用于指示该第一缓存文件为可信的缓存文件。

可选的，该装置还包括：第四处理模块，用于获取该操作系统在固定存储区域存储的该第一时刻的该第一缓存文件；确定该固定存储区域存储的该第一时刻的该第一缓存文件的存储类型；根据该固定存储区域存储的该第一时刻的该第一缓存文件的存储类型，将该固定存储区域存储的该第一时刻的该第一缓存文件加载至该缓存区域。

一种可能的实现方式中，该第三处理模块603具体用于：根据该第一缓存文件在该第一时刻的存储类型，判断该第二缓存参数是否包括于M个缓存文件的缓存参数，该M个缓存文件为该第一缓存文件在该第一时刻的存储类型对应的缓存文件，M为大于或等于1的整数。

可选的，该装置还包括：第五处理模块，用于判断该第一缓存文件在该第二时刻的属性信息是否满足预设排除策略；当该第一缓存文件在该第二时刻的属性信息满足该预设排除策略时，将该第一缓存文件确定为可信的缓存文件。

可选的，该装置还包括：第六处理模块，用于当该第二缓存参数与该第一缓存参数不匹配时，将该第一缓存文件确定为未命中的缓存文件；确定该第一缓存文件在该第二时刻未发生变更的属性信息；根据该第一缓存文件在该第二时刻未发生变更的属性信息，确定该操作系统在该缓存无语存储的L个缓存文件，该L个缓存文件中的每一个缓存文件均包括该未发生变更的属性信息，L为大于或等于1的整数；将该L个缓存文件确定为未命中的缓存文件，删除该L个缓存文件。

可选的，删除该L个缓存文件之后，该装置还包括：第七处理模块，用于获取第二缓存文件的文件内容，该第二缓存文件为该L个缓存文件中的任意一个缓存文件；判断该缓存文件的文件内容是否满足预设可信规则；当该第二缓存文件的文件内容不满足该预设可信规则时，将该第二缓存文件确定为不可信的缓存文件；当该第二缓存文件的文件内容满足该预设可信规则时，将该第二缓存文件确定为可信的缓存文件。

可选的，将该第二缓存文件确定为可信的缓存文件之后，该装置还包括：第八处理模块，用于确定该第二缓存文件在该第二时刻的存储类型；根据该第二缓存文件在该第二时刻的存储类型，将该第二缓存文件存储在该缓存区域；根据预设更新周期，将该缓存区域存储的该第二缓存文件同步至固定存储区域。

需要说明的是，上述装置中的第一处理模块、第二处理模块、第三处理模块、第四处理模块、第五处理模块、第六处理模块、第七处理模块和第八处理模块可能是同一个处理模块下的不同处理单元。

图7是本申请实施例提供的一种电子设备的结构示意图。

示例性的，如图7所示，该电子设备700包括：存储器701和处理器702，其中，存储器701中存储有可执行程序代码7011，处理器702用于调用并执行该可执行程序代码7011执行一种判断操作系统的缓存文件可信的方法。

本实施例可以根据上述方法示例对电子设备进行功能模块的划分，例如，可以对应各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中，上述集成的模块可以采用硬件的形式实现。需要说明的是，本实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

在采用对应各个功能划分各个功能模块的情况下，该电子设备可以包括：第一处理模块、第二处理模块、第三处理模块等。需要说明的是，上述方法实施例涉及的各个步骤的所有相关内容的可以援引到对应功能模块的功能描述，在此不再赘述。

本实施例提供的电子设备，用于执行上述一种判断操作系统的缓存文件可信的方法，因此可以达到与上述实现方法相同的效果。

在采用集成的单元的情况下，电子设备可以包括处理模块、存储模块。其中，处理模块可以用于对电子设备的动作进行控制管理。存储模块可以用于支持电子设备执行相互程序代码和数据等。

其中，处理模块可以是处理器或控制器，其可以实现或执行结合本申请公开内容所藐视的各种示例性的逻辑方框，模块和电路。处理器也可以是实现计算功能的组合，例如包括一个或多个微处理器组合，数字信号处理(digital signal processing，DSP)和微处理器的组合等等，存储模块可以是存储器。

本实施例还提供一种计算机可读存储介质，该计算机可读存储介质中存储有计算机程序代码，当该计算机程序代码在计算机上运行时，使得该计算机执行上述相关方法步骤实现上述实施例中的一种判断操作系统的缓存文件可信的方法。

本实施例还提供了一种计算机程序产品，当该计算机程序产品在计算机上运行时，使得该计算机执行上述相关步骤，以实现上述实施例中的一种判断操作系统的缓存文件可信的方法。

另外，本申请的实施例提供的电子设备具体可以是芯片，组件或模块，该订单管理设备可包括相连的处理器和存储器；其中，存储器用于存储指令，当订单管理设备运行时，处理器可调用并执行指令，以使芯片执行上述实施例中的一种判断操作系统的缓存文件可信的方法。

其中，本实施例提供的电子设备、计算机可读存储介质、计算机程序产品或芯片均用于执行上文所提供的对应的方法，因此，其所能达到的有益效果可参考上文所提供的对应的方法中的有益效果，此处不再赘述。

通过以上实施方式的描述，所属领域的技术人员可以了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。

在本申请所提供的实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个装置，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

以上内容，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求的保护范围为准。

完整全部详细技术资料下载

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
专利发明人：
专利申请人：三六零数字安全科技集团有限公司;

上一篇：基于知识图谱的油井数据完整性识别方法
下一篇：一种可适应三次风管温度变形的门式支架结构