CN104461830B - 监控进程的方法和装置 - Google Patents
监控进程的方法和装置 Download PDFInfo
- Publication number
- CN104461830B CN104461830B CN201410806559.3A CN201410806559A CN104461830B CN 104461830 B CN104461830 B CN 104461830B CN 201410806559 A CN201410806559 A CN 201410806559A CN 104461830 B CN104461830 B CN 104461830B
- Authority
- CN
- China
- Prior art keywords
- file
- monitored
- current file
- current
- frequency
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供了一种监控进程的方法和装置,该方法包括:多次获取指定的被监控文件的当前文件特征信息,其中,所述被监控文件由被监控进程运行时产生;根据预设的监控策略对多次获取的所述当前文件特征信息进行处理,得到当前文件特征参数;比对所述当前文件特征参数与所述被监控文件的合法文件特性参数;以及根据比对结果确定所述被监控进程是否异常。本发明提供的技术方案准确地判断被监控进程是否异常,从而解决了相关技术中通过监测端口的方式存在的不可靠的问题。
Description
技术领域
本发明涉及计算机技术领域,特别是一种监控进程的方法和装置。
背景技术
进程是操作系统结构的基础,是一种具有独立功能的程序。它可以申请和拥有系统资源,是一个动态的概念,是一个活动的实体。进程不只是程序的代码,还包括当前的活动,通过程序计数器的值和处理寄存器的内容来表示。
由于各种可预见或不可预见的因素,进程在运行时会出现异常情况,如异常退出、阻塞、僵死或被病毒感染等情况。因而需要通过监控进程的方式及时发现异常,并进行处理,从而减少不必要的损失。相关技术中,可以通过监测端口是否开启或者能否采集到数据来确定进程是否存活。然而,在实际应用中,一些进程的端口虽然开启并能够采集到数据,但是这些进程是处于僵死或被病毒感染的状态。因而,对于这类进程,采用相关技术中的监测端口的方式是不可靠的,亟需提供一种监测此类进程的方案。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的监控进程的方法和装置。
依据本发明的一个方面,提供了一种监控进程的方法,包括:多次获取指定的被监控文件的当前文件特征信息,其中,所述被监控文件由被监控进程运行时产生;根据预设的监控策略对多次获取的所述当前文件特征信息进行处理,得到当前文件特征参数;比对所述当前文件特征参数与所述被监控文件的合法文件特性参数,以获取比对结果;以及根据比对结果确定所述被监控进程是否异常。
可选地,所述当前文件特征信息为当前文件的最后修改时间,
所述根据预设的监控策略对多次获取的所述当前文件特征信息进行处理,得到当前文件特征参数的步骤进一步包括:根据多次获取的所述当前文件的最后修改时间,计算当前文件的修改时间间隔;以及
所述比对所述当前文件特征参数与所述被监控文件的合法文件特性参数,以获取比对结果的步骤进一步包括:比对所述当前文件的修改时间间隔与所述被监控文件的合法修改时间间隔,以获取比对结果。
可选地,所述根据比对结果确定所述被监控进程是否异常的步骤进一步包括:若所述当前文件的修改时间间隔大于所述合法修改时间间隔,则确定所述被监控进程异常。
可选地,所述根据比对结果确定所述被监控进程是否异常的步骤进一步包括:若所述当前文件的修改时间间隔小于所述合法修改时间间隔,则确定所述被监控进程异常。
可选地,所述当前文件特征信息为指定文件内容,
所述根据预设的监控策略对多次获取的所述当前文件特征信息进行处理,得到当前文件特征参数的步骤进一步包括:根据多次获取的所述指定文件内容,统计所述指定文件内容的出现频率;
所述比对所述当前文件特征参数与所述被监控进程运行时所述被监控文件的合法文件特性参数,以获取比对结果的步骤进一步包括:比对所述指定文件内容的出现频率与所述被监控文件的合法出现频率,以获取比对结果。
可选地,所述根据比对结果确定所述被监控进程是否异常的步骤进一步包括:若所述指定文件内容的出现频率大于所述合法出现频率,则确定所述被监控进程异常。
可选地,所述根据比对结果确定所述被监控进程是否异常的步骤进一步包括:若所述指定文件内容的出现频率小于所述合法出现频率,则确定所述被监控进程异常。
可选地,所述多次获取指定的被监控文件的当前文件特征信息的步骤进一步包括:
多次获取所述被监控进程对应的日志文件;以及
依据所述日志文件获取所述被监控文件的当前文件特征信息。
可选地,所述方法还包括:在确定所述被监控进程异常之后,发出异常报警。
依据本发明的另一个方面,还提供了一种监控进程的装置,包括:
获取模块,适于多次获取指定的被监控文件的当前文件特征信息,其中,所述被监控文件由被监控进程运行时产生;
处理模块,适于根据预设的监控策略对多次获取的所述当前文件特征信息进行处理,得到当前文件特征参数;
比对模块,适于比对所述当前文件特征参数与所述被监控文件的合法文件特性参数,以获取比对结果;以及
确定模块,适于根据比对结果确定所述被监控进程是否异常。
可选地,所述当前文件特征信息为当前文件的最后修改时间,
所述处理模块,还适于根据多次获取的所述当前文件的最后修改时间,计算当前文件的修改时间间隔;以及
所述比对模块,还适于比对所述当前文件的修改时间间隔与所述被监控文件的合法修改时间间隔,以获取比对结果。
可选地,所述确定模块还适于:若所述当前文件的修改时间间隔大于所述合法修改时间间隔,则确定所述被监控进程异常。
可选地,所述确定模块还适于:若所述当前文件的修改时间间隔小于所述合法修改时间间隔,则确定所述被监控进程异常。
可选地,所述当前文件特征信息为指定文件内容,
所述处理模块,还适于根据多次获取的所述指定文件内容,统计所述指定文件内容的出现频率;
所述比对模块,还适于比对所述指定文件内容的出现频率与所述被监控文件的合法出现频率,以获取比对结果。
可选地,所述确定模块还适于:若所述指定文件内容的出现频率大于所述合法出现频率,则确定所述被监控进程异常。
可选地,所述确定模块还适于:若所述指定文件内容的出现频率小于所述合法出现频率,则确定所述被监控进程异常。
可选地,所述获取模块还适于:多次获取所述被监控进程对应的日志文件;以及依据所述日志文件获取所述被监控文件的当前文件特征信息。
可选地,所述装置还包括:报警模块,适于在所述确定模块确定所述被监控进程异常之后,发出异常报警。
依据本发明提供的技术方案,由于被监控进程运行时产生的被监控文件的当前文件特征信息能够客观、准确地反映被监控进程的鲁棒性,根据预设的监控策略对当前文件特征信息进行处理,得到当前文件特征参数,进而比对当前文件特征参数与被监控进程运行时被监控文件的合法文件特性参数,根据比对结果确定被监控进程是否异常,由此能够准确地判断被监控进程是否异常,从而解决了相关技术中通过监测端口的方式存在的不可靠的问题。并且,当监测到进程异常时发出异常报警信息,从而能够及时对异常进程进行处理,提高进程运行的稳定性。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
根据下文结合附图对本发明具体实施例的详细描述,本领域技术人员将会更加明了本发明的上述以及其他目的、优点和特征。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明一个实施例的监控进程的方法的流程示意图;
图2示出了根据本发明另一个实施例的监控进程的方法的流程示意图;
图3示出了根据本发明又一个实施例的监控进程的方法的流程示意图;
图4示出了根据本发明一个实施例的监控进程的装置的结构示意图;以及
图5示出了根据本发明另一个实施例的监控进程的装置的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
为解决上述技术问题,本发明实施例提供了一种监控进程的方法,图1示出了根据本发明一个实施例的监控进程的方法的流程示意图。如图1所示,该方法至少包括以下步骤S102、步骤S104、步骤S106以及步骤S108。
步骤S102、多次获取指定的被监控文件的当前文件特征信息,其中,被监控文件由被监控进程运行时产生。
步骤S104、根据预设的监控策略对多次获取的当前文件特征信息进行处理,得到当前文件特征参数。
步骤S106、比对当前文件特征参数与被监控文件的合法文件特性参数,以获取比对结果。
步骤S108、根据比对结果确定被监控进程是否异常。
依据本发明提供的技术方案,由于被监控进程运行时产生的被监控文件的当前文件特征信息能够客观、准确地反映被监控进程的鲁棒性,根据预设的监控策略对当前文件特征信息进行处理,得到当前文件特征参数,进而比对当前文件特征参数与被监控进程运行时被监控文件的合法文件特性参数,根据比对结果确定被监控进程是否异常,由此能够准确地判断被监控进程是否异常,从而解决了相关技术中通过监测端口的方式存在的不可靠的问题。并且,当监测到进程异常时发出异常报警信息,从而能够及时对异常进程进行处理,提高进程运行的稳定性。
上文步骤S102提及的当前文件特征信息是指能够表现文件特征的信息,可以是当前文件修改时间、指定文件内容、文件存储路径等等,本发明不限于此。进一步地,多次获取指定的被监控文件的当前文件特征信息可以是根据预设的时间周期实现多次获取,或者实时进行获取,又或者在预设的时间段内实现多次获取,等等。此外,可以多次获取被监控进程对应的日志文件,进而依据日志文件获取被监控文件的当前文件特征信息。
当多次获取的当前文件特征信息不相同时,步骤S104以及步骤S106的处理方式也有所不同,下面详细介绍当前文件特征信息分别为当前文件的最后修改时间和指定文件内容时步骤S104以及步骤S106的处理方式。
首先,当前文件特征信息为当前文件的最后修改时间时,本发明提供了一种优选的实施步骤S104的方案,在该方案中,可以根据多次获取的当前文件的最后修改时间,计算当前文件的修改时间间隔。此时,可以比对当前文件的修改时间间隔与被监控进程运行时被监控文件的合法修改时间间隔,根据比对结果确定被监控进程是否异常。进一步地,在本发明实施例中,设置两个合法修改时间间隔阈值,分别为第一间隔阈值和第二间隔阈值,且第一间隔阈值大于第二间隔阈值,当前文件的修改时间间隔与合法修改时间间隔(第一间隔阈值或第二间隔阈值)的比对结果有如下几种情况:
在判断被监控进程是否僵死或阻塞的实施例中,若当前文件的修改时间间隔超过第一间隔阈值,说明被监控文件迟迟没有被修改,则确定被监控进程僵死或阻塞;否则,确定被监控进程没有僵死或没有阻塞;
在判断被监控进程是否遭到攻击的实施例中,若当前文件的修改时间间隔低于第二间隔阈值,说明被监控文件被修改频繁,则确定被监控进程被攻击;否则,确定被监控进程没有被攻击。
举例来说,被监控进程运行时产生的被监控文件A,其在预设的时间周期T0内的设置两个合法修改时间间隔为t0和t00,且t0大于t00,监控进程每隔预设的时间周期T0获取被监控文件A的当前文件的最后修改时间,不妨假设获取了四次当前文件的最后修改时间依次为t1、t2、t3、t4,得到的当前文件的修改时间间隔为t2-t1、t3-t2、t4-t3,对于每个当前文件的修改时间间隔,比对其与t0或t00的大小关系有如下几种情况。
在判断被监控进程是否僵死或阻塞的实施例中,若当前文件的修改时间间隔超过t0,说明在预设的时间周期T0内被监控文件A未被修改,从而确定被监控进程僵死或阻塞。反之,若当前文件的修改时间间隔不超过t0,说明在预设的时间周期T0内被监控文件A已被修改,则确定被监控进程没有僵死或没有阻塞。
在判断被监控进程是否遭到攻击的实施例中,若当前文件的修改时间间隔低于t00,说明在预设的时间周期T0内被监控文件A被修改频繁,从而确定被监控进程被攻击。反之,若当前文件的修改时间间隔超过t00,则确定被监控进程没有被攻击。
如此进行重复循环监测,当监测到进程异常(如僵死、阻塞或被攻击)时发出异常报警信息(例如可以通过邮件、消息等方式发出异常报警信息),从而能够及时对异常进程进行处理,提高进程运行的稳定性。
其次,当前文件特征信息为指定文件内容时,本发明实施例可以根据多次获取的指定文件内容,统计指定文件内容的出现频率。进而比对指定文件内容的出现频率与被监控文件的合法出现频率,根据比对结果确定被监控进程是否异常。这里的指定文件内容可以是指定关键词、指定的一行或多行文件关键信息等,本发明不限于此。进一步地,在本发明的优选实施例中,可以设置两个合法出现频率阈值,分别为第一频率阈值和第二频率阈值,且第一频率阈值大于第二频率阈值,指定文件内容的出现频率与合法出现频率(第一频率阈值或第二频率阈值)比对结果有如下几种情况:
在判断被监控进程是否僵死或阻塞的实施例中,若指定文件内容的出现频率小于第二频率阈值,说明被监控文件不修改或少修改,则确定所述被监控进程僵死或阻塞;否则,确定被监控进程没有僵死或没有阻塞;
在判断被监控进程是否遭到攻击的实施例中,若指定文件内容的出现频率大于第一频率阈值,说明被监控文件被修改频繁,则确定被监控进程被攻击;否则,确定被监控进程没有被攻击。
由此,当监测到进程异常(如僵死、阻塞或被攻击)时发出异常报警信息,从而能够及时对异常进程进行处理,提高进程运行的稳定性。
以上介绍了图1所示的实施例中各环节的多种实现方式,下面通过具体的优选实施例对本发明实施例提供的监控进程的方法做进一步说明。
在本发明实施例的一种监控方案中,设置两个合法修改时间间隔阈值,分别为第一间隔阈值和第二间隔阈值,且第一间隔阈值大于第二间隔阈值,通过比对当前文件的修改时间间隔与合法修改时间间隔(第一间隔阈值和第二间隔阈值)来判断被监控进程是否异常,如被监控进程是否僵死或阻塞,被监控进程是否遭到攻击。图2示出了根据本发明另一个实施例的监控进程的方法的流程示意图。如图2所示,该方法包括以下步骤S202、S204、S206、S208、S210、S212、S214以及步骤S216。
步骤S202、根据预设的时间间隔多次获取指定的被监控文件的当前文件的最后修改时间,其中,被监控文件由被监控进程运行时产生。
步骤S204、根据步骤S202中多次获取的当前文件的最后修改时间,计算当前文件的修改时间间隔。
步骤S206、判断当前文件的修改时间间隔是否超过第一间隔阈值,若是,则继续执行步骤S208;若否,则继续执行步骤S210。
步骤S208、确定被监控进程僵死或阻塞,发出异常报警。
步骤S210、确定被监控进程没有僵死或没有阻塞,并继续执行步骤S212。
步骤S212、判断当前文件的修改时间间隔是否低于第二间隔阈值,若是,则继续执行步骤S214;若否,则继续执行步骤S216。
步骤S214、确定被监控进程被攻击,发出异常报警。
步骤S216、确定被监控进程正常,并返回执行步骤S202。
本发明实施例中,根据预设的监控策略对当前文件的最后修改时间进行处理,得到当前文件的修改时间间隔,进而比对当前文件的修改时间间隔与合法修改时间间隔,根据比对结果确定被监控进程是否异常(如僵死、阻塞或被攻击),由此能够准确地判断被监控进程是否异常,从而解决了相关技术中通过监测端口的方式存在的不可靠的问题。并且,当监测到进程异常时发出异常报警信息,从而能够及时对异常进程进行处理,提高进程运行的稳定性。
在本发明实施例的另一种监控方案中,设置两个合法出现频率阈值,分别为第一频率阈值和第二频率阈值,且第一频率阈值大于第二频率阈值,通过比对指定文件内容的出现频率与合法出现频率(第一频率阈值或第二频率阈值)来判断被监控进程是否异常,如被监控进程是否僵死或阻塞,被监控进程是否遭到攻击。图3示出了根据本发明又一个实施例的监控进程的方法的流程示意图。如图3所示,该方法包括以下步骤S302、S304、S306、S308、S310、S312、S314以及步骤S316。
步骤S302、根据预设的时间间隔多次获取指定的被监控文件的指定文件内容,其中,被监控文件由被监控进程运行时产生。
步骤S304、根据多次获取的指定文件内容,统计指定文件内容的出现频率。
步骤S306、判断指定文件内容的出现频率是否大于第一频率阈值,若是,继续执行步骤S308;否则,继续执行步骤S310。
步骤S308、确定被监控进程被攻击,发出异常报警。
步骤S310、确定被监控进程没有被攻击,并继续执行步骤S312。
步骤S312、判断指定文件内容的出现频率是否小于第二频率阈值,若是,则继续执行步骤S314;否则,继续执行步骤S316。
步骤S314、确定被监控进程僵死或阻塞,发出异常报警。
步骤S316、确定被监控进程正常,并返回执行步骤S302。
本发明实施例中,根据预设的监控策略对指定文件内容进行处理,得到指定文件内容的出现频率,进而比对指定文件内容的出现频率与合法出现频率,根据比对结果确定被监控进程是否异常,由此能够准确地判断被监控进程是否异常,从而解决了相关技术中通过监测端口的方式存在的不可靠的问题。并且,当监测到进程异常时发出异常报警信息,从而能够及时对异常进程进行处理,提高进程运行的稳定性。
需要说明的是,实际应用中,上述所有可选实施方式可以采用结合的方式任意组合,形成本发明的可选实施例,在此不再一一赘述。
基于同一发明构思,本发明实施例还提供了一种监控进程的装置,以实现上述监控进程的方法。
图4示出了根据本发明一个实施例的监控进程的装置的结构示意图。参见图4,该装置至少包括:获取模块410、处理模块420、比对模块430以及确定模块440。
现介绍本发明实施例的监控进程的装置的各组成或器件的功能以及各部分间的连接关系:
获取模块410,适于多次获取指定的被监控文件的当前文件特征信息,其中,被监控文件由被监控进程运行时产生;
处理模块420,与获取模块410相耦合,适于根据预设的监控策略对多次获取的当前文件特征信息进行处理,得到当前文件特征参数;
比对模块430,与处理模块420相耦合,适于比对当前文件特征参数与被监控文件的合法文件特性参数,以获取比对结果;
确定模块440,与比对模块430相耦合,适于根据比对结果确定被监控进程是否异常。
在本发明的一个实施例中,当前文件特征信息为当前文件的最后修改时间,
上述处理模块420,还适于根据多次获取的所述当前文件的最后修改时间,计算当前文件的修改时间间隔;以及
上述比对模块430,还适于比对所述当前文件的修改时间间隔与所述被监控文件的合法修改时间间隔,以获取比对结果。
在本发明的一个实施例中,上述确定模块440还适于:若所述当前文件的修改时间间隔大于所述合法修改时间间隔,则确定所述被监控进程异常。
在本发明的一个实施例中,上述确定模块440还适于:若所述当前文件的修改时间间隔小于所述合法修改时间间隔,则确定所述被监控进程异常。
在本发明的一个实施例中,所述当前文件特征信息为指定文件内容,
上述处理模块420,还适于根据多次获取的所述指定文件内容,统计所述指定文件内容的出现频率;
上述比对模块430,还适于比对所述指定文件内容的出现频率与所述被监控文件的合法出现频率,以获取比对结果。
在本发明的一个实施例中,上述确定模块440还适于:若所述指定文件内容的出现频率大于所述合法出现频率,则确定所述被监控进程异常。
在本发明的一个实施例中,上述确定模块440还适于:若所述指定文件内容的出现频率小于所述合法出现频率,则确定所述被监控进程异常。
在本发明的一个实施例中,上述获取模块410还适于:
多次获取所述被监控进程对应的日志文件;以及
依据所述日志文件获取所述被监控文件的当前文件特征信息。
在本发明的一个实施例中,图5示出了根据本发明另一个实施例的监控进程的装置的结构示意图。参见图5,该装置还可以包括:报警模块510,与确定模块440相耦合,适于在确定模块440确定被监控进程异常之后,发出异常报警。
根据上述任意一个优选实施例或多个优选实施例的组合,本发明实施例能够达到如下有益效果:
依据本发明提供的技术方案,由于被监控进程运行时产生的被监控文件的当前文件特征信息能够客观、准确地反映被监控进程的鲁棒性,根据预设的监控策略对当前文件特征信息进行处理,得到当前文件特征参数,进而比对当前文件特征参数与被监控进程运行时被监控文件的合法文件特性参数,根据比对结果确定被监控进程是否异常,由此能够准确地判断被监控进程是否异常,从而解决了相关技术中通过监测端口的方式存在的不可靠的问题。并且,当监测到进程异常时发出异常报警信息,从而能够及时对异常进程进行处理,提高进程运行的稳定性。
本发明还公开了:
A1、一种监控进程的方法,包括:
多次获取指定的被监控文件的当前文件特征信息,其中,所述被监控文件是由被监控进程运行时产生;
根据预设的监控策略对多次获取的所述当前文件特征信息进行处理,得到当前文件特征参数;
比对所述当前文件特征参数与所述被监控文件的合法文件特性参数,以获取比对结果;以及
根据比对结果确定所述被监控进程是否异常。
A2、根据A1所述的方法,其中,所述当前文件特征信息为当前文件的最后修改时间,
所述根据预设的监控策略对多次获取的所述当前文件特征信息进行处理,得到当前文件特征参数的步骤进一步包括:根据多次获取的所述当前文件的最后修改时间,计算当前文件的修改时间间隔;以及
所述比对所述当前文件特征参数与所述被监控文件的合法文件特性参数,以获取比对结果的步骤进一步包括:比对所述当前文件的修改时间间隔与所述被监控文件的合法修改时间间隔,以获取比对结果。
A3、根据A2所述的方法,其中,所述根据比对结果确定所述被监控进程是否异常的步骤进一步包括:
若所述当前文件的修改时间间隔大于所述合法修改时间间隔,则确定所述被监控进程异常。
A4、根据A2所述的方法,其中,所述根据比对结果确定所述被监控进程是否异常的步骤进一步包括:
若所述当前文件的修改时间间隔小于所述合法修改时间间隔,则确定所述被监控进程异常。
A5、根据A1所述的方法,其中,所述当前文件特征信息为指定文件内容,
所述根据预设的监控策略对多次获取的所述当前文件特征信息进行处理,得到当前文件特征参数的步骤进一步包括:根据多次获取的所述指定文件内容,统计所述指定文件内容的出现频率;
所述比对所述当前文件特征参数与所述被监控进程运行时所述被监控文件的合法文件特性参数,以获取比对结果的步骤进一步包括:比对所述指定文件内容的出现频率与所述被监控文件的合法出现频率,以获取比对结果。
A6、根据A5所述的方法,其中,所述根据比对结果确定所述被监控进程是否异常的步骤进一步包括:
若所述指定文件内容的出现频率大于所述合法出现频率,则确定所述被监控进程异常。
A7、根据A5所述的方法,其中,所述根据比对结果确定所述被监控进程是否异常的步骤进一步包括:
若所述指定文件内容的出现频率小于所述合法出现频率,则确定所述被监控进程异常。
A8、根据A1-A7任一项所述的方法,其中,所述多次获取指定的被监控文件的当前文件特征信息的步骤进一步包括:
多次获取所述被监控进程对应的日志文件;以及
依据所述日志文件获取所述被监控文件的当前文件特征信息。
A9、根据A1-A8任一项所述的方法,还包括:
在确定所述被监控进程异常之后,发出异常报警。
B10、一种监控进程的装置,包括:
获取模块,适于多次获取指定的被监控文件的当前文件特征信息,其中,所述被监控文件由被监控进程运行时产生;
处理模块,适于根据预设的监控策略对多次获取的所述当前文件特征信息进行处理,得到当前文件特征参数;
比对模块,适于比对所述当前文件特征参数与所述被监控文件的合法文件特性参数,以获取比对结果;以及
确定模块,适于根据比对结果确定所述被监控进程是否异常。
B11、根据B10所述的装置,其中,所述当前文件特征信息为当前文件的最后修改时间,
所述处理模块,还适于根据多次获取的所述当前文件的最后修改时间,计算当前文件的修改时间间隔;以及
所述比对模块,还适于比对所述当前文件的修改时间间隔与所述被监控文件的合法修改时间间隔,以获取比对结果。
B12、根据B11所述的装置,其中,所述确定模块还适于:
若所述当前文件的修改时间间隔大于所述合法修改时间间隔,则确定所述被监控进程异常。
B13、根据B11所述的装置,其中,所述确定模块还适于:
若所述当前文件的修改时间间隔小于所述合法修改时间间隔,则确定所述被监控进程异常。
B14、根据B10所述的装置,其中,所述当前文件特征信息为指定文件内容,
所述处理模块,还适于根据多次获取的所述指定文件内容,统计所述指定文件内容的出现频率;
所述比对模块,还适于比对所述指定文件内容的出现频率与所述被监控文件的合法出现频率,以获取比对结果。
B15、根据B14所述的装置,其中,所述确定模块还适于:
若所述指定文件内容的出现频率大于所述合法出现频率,则确定所述被监控进程异常。
B16、根据B14所述的装置,其中,所述确定模块还适于:
若所述指定文件内容的出现频率小于所述合法出现频率,则确定所述被监控进程异常。
B17、根据B10-B16任一项所述的装置,其中,所述获取模块还适于:
多次获取所述被监控进程对应的日志文件;以及
依据所述日志文件获取所述被监控文件的当前文件特征信息。
B18、根据B10-B17任一项所述的装置,其中,还包括:
报警模块,适于在所述确定模块确定所述被监控进程异常之后,发出异常报警。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的监控进程的装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包括”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
至此,本领域技术人员应认识到,虽然本文已详尽示出和描述了本发明的多个示例性实施例,但是,在不脱离本发明精神和范围的情况下,仍可根据本发明公开的内容直接确定或推导出符合本发明原理的许多其他变型或修改。因此,本发明的范围应被理解和认定为覆盖了所有这些其他变型或修改。
Claims (16)
1.一种监控进程的方法,包括:
多次获取指定的被监控文件的当前文件特征信息,其中,所述被监控文件是由被监控进程运行时产生;
根据预设的监控策略对多次获取的所述当前文件特征信息进行处理,得到当前文件特征参数;
比对所述当前文件特征参数与所述被监控文件的合法文件特性参数,以获取比对结果;以及
根据比对结果确定所述被监控进程是否异常;
其中,所述当前文件特征信息为当前文件的最后修改时间,所述根据预设的监控策略对多次获取的所述当前文件特征信息进行处理,得到当前文件特征参数的步骤进一步包括:根据多次获取的所述当前文件的最后修改时间,计算当前文件的修改时间间隔作为所述当前文件特征参数;以及
所述比对所述当前文件特征参数与所述被监控文件的合法文件特性参数,以获取比对结果的步骤进一步包括:比对所述当前文件的修改时间间隔与所述被监控文件的合法修改时间间隔,以获取比对结果。
2.根据权利要求1所述的方法,其中,所述根据比对结果确定所述被监控进程是否异常的步骤进一步包括:
若所述当前文件的修改时间间隔大于所述合法修改时间间隔,则确定所述被监控进程异常。
3.根据权利要求1所述的方法,其中,所述根据比对结果确定所述被监控进程是否异常的步骤进一步包括:
若所述当前文件的修改时间间隔小于所述合法修改时间间隔,则确定所述被监控进程异常。
4.根据权利要求1所述的方法,其中,所述当前文件特征信息为指定文件内容,
所述根据预设的监控策略对多次获取的所述当前文件特征信息进行处理,得到当前文件特征参数的步骤进一步包括:根据多次获取的所述指定文件内容,统计所述指定文件内容的出现频率;
所述比对所述当前文件特征参数与所述被监控进程运行时所述被监控文件的合法文件特性参数,以获取比对结果的步骤进一步包括:比对所述指定文件内容的出现频率与所述被监控文件的合法出现频率,以获取比对结果。
5.根据权利要求4所述的方法,其中,所述根据比对结果确定所述被监控进程是否异常的步骤进一步包括:
若所述指定文件内容的出现频率大于所述合法出现频率,则确定所述被监控进程异常。
6.根据权利要求4所述的方法,其中,所述根据比对结果确定所述被监控进程是否异常的步骤进一步包括:
若所述指定文件内容的出现频率小于所述合法出现频率,则确定所述被监控进程异常。
7.根据权利要求1-6任一项所述的方法,其中,所述多次获取指定的被监控文件的当前文件特征信息的步骤进一步包括:
多次获取所述被监控进程对应的日志文件;以及
依据所述日志文件获取所述被监控文件的当前文件特征信息。
8.根据权利要求1-6任一项所述的方法,还包括:
在确定所述被监控进程异常之后,发出异常报警。
9.一种监控进程的装置,包括:
获取模块,适于多次获取指定的被监控文件的当前文件特征信息,其中,所述被监控文件由被监控进程运行时产生;
处理模块,适于根据预设的监控策略对多次获取的所述当前文件特征信息进行处理,得到当前文件特征参数;
比对模块,适于比对所述当前文件特征参数与所述被监控文件的合法文件特性参数,以获取比对结果;以及
确定模块,适于根据比对结果确定所述被监控进程是否异常;
其中,所述当前文件特征信息为当前文件的最后修改时间,所述处理模块还适于:根据多次获取的所述当前文件的最后修改时间,计算当前文件的修改时间间隔作为所述当前文件特征参数;以及
所述比对模块,还适于比对所述当前文件的修改时间间隔与所述被监控文件的合法修改时间间隔,以获取比对结果。
10.根据权利要求9所述的装置,其中,所述确定模块还适于:
若所述当前文件的修改时间间隔大于所述合法修改时间间隔,则确定所述被监控进程异常。
11.根据权利要求9所述的装置,其中,所述确定模块还适于:
若所述当前文件的修改时间间隔小于所述合法修改时间间隔,则确定所述被监控进程异常。
12.根据权利要求9所述的装置,其中,所述当前文件特征信息为指定文件内容,
所述处理模块,还适于根据多次获取的所述指定文件内容,统计所述指定文件内容的出现频率;
所述比对模块,还适于比对所述指定文件内容的出现频率与所述被监控文件的合法出现频率,以获取比对结果。
13.根据权利要求12所述的装置,其中,所述确定模块还适于:
若所述指定文件内容的出现频率大于所述合法出现频率,则确定所述被监控进程异常。
14.根据权利要求12所述的装置,其中,所述确定模块还适于:
若所述指定文件内容的出现频率小于所述合法出现频率,则确定所述被监控进程异常。
15.根据权利要求9-14任一项所述的装置,其中,所述获取模块还适于:
多次获取所述被监控进程对应的日志文件;以及
依据所述日志文件获取所述被监控文件的当前文件特征信息。
16.根据权利要求9-14任一项所述的装置,其中,还包括:
报警模块,适于在所述确定模块确定所述被监控进程异常之后,发出异常报警。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410806559.3A CN104461830B (zh) | 2014-12-19 | 2014-12-19 | 监控进程的方法和装置 |
PCT/CN2015/094152 WO2016095626A1 (zh) | 2014-12-19 | 2015-11-09 | 监控进程的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410806559.3A CN104461830B (zh) | 2014-12-19 | 2014-12-19 | 监控进程的方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104461830A CN104461830A (zh) | 2015-03-25 |
CN104461830B true CN104461830B (zh) | 2017-09-22 |
Family
ID=52907925
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410806559.3A Expired - Fee Related CN104461830B (zh) | 2014-12-19 | 2014-12-19 | 监控进程的方法和装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN104461830B (zh) |
WO (1) | WO2016095626A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109002705A (zh) * | 2018-06-20 | 2018-12-14 | 苏州科达科技股份有限公司 | 进程认证方法、装置及服务器 |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104461830B (zh) * | 2014-12-19 | 2017-09-22 | 北京奇虎科技有限公司 | 监控进程的方法和装置 |
CN105119767A (zh) * | 2015-06-29 | 2015-12-02 | 北京宇航时代科技发展有限公司 | 一种数据自检及自清理的软件运行状态监测方法及系统 |
CN104932978B (zh) * | 2015-06-29 | 2018-04-13 | 北京宇航时代科技发展有限公司 | 一种系统运行故障自检测及自修复的方法和系统 |
CN106484589B (zh) * | 2015-08-28 | 2020-06-30 | 腾讯科技(深圳)有限公司 | 端口访问的监测方法及装置 |
CN106781094A (zh) * | 2016-12-29 | 2017-05-31 | 北京安天网络安全技术有限公司 | 一种atm系统资源异常报警系统及方法 |
CN107168823A (zh) * | 2017-05-15 | 2017-09-15 | 郑州云海信息技术有限公司 | 一种Java进程保护的方法与装置 |
TWI658349B (zh) * | 2017-06-27 | 2019-05-01 | 亞智科技股份有限公司 | 製程監控方法與製程監控系統 |
CN108459927B (zh) * | 2018-02-28 | 2021-11-26 | 北京奇艺世纪科技有限公司 | 一种数据备份方法、装置和服务器 |
CN108595303A (zh) * | 2018-04-11 | 2018-09-28 | 郑州云海信息技术有限公司 | 一种基于系统的进程和文件监控方法及系统 |
CN108874618B (zh) * | 2018-05-04 | 2022-03-18 | 平安科技(深圳)有限公司 | Cognos进程的监控方法、装置、计算机设备和存储介质 |
CN110737562A (zh) * | 2018-07-19 | 2020-01-31 | 深圳市鸿合创新信息技术有限责任公司 | 一种监控进程的方法及系统、电子设备 |
CN109669402B (zh) * | 2018-09-25 | 2022-08-19 | 平安普惠企业管理有限公司 | 异常监控方法、设备、装置及计算机可读存储介质 |
CN109464805A (zh) * | 2018-10-11 | 2019-03-15 | 北京奇虎科技有限公司 | 恶意程序检测方法、装置、电子设备和存储介质 |
CN109871359A (zh) * | 2019-03-21 | 2019-06-11 | 国网福建省电力有限公司 | 文件监控系统及方法 |
CN110532775A (zh) * | 2019-07-26 | 2019-12-03 | 苏州浪潮智能科技有限公司 | 一种计算机进程管制的方法和工具 |
CN110471824A (zh) * | 2019-08-19 | 2019-11-19 | 中国工商银行股份有限公司 | 监控方法、装置、系统、电子设备和计算机可读存储介质 |
CN110609780B (zh) * | 2019-08-27 | 2023-06-13 | Oppo广东移动通信有限公司 | 数据监控方法、装置、电子设备及存储介质 |
CN110784352B (zh) * | 2019-10-30 | 2022-04-01 | 国网山东省电力公司信息通信公司 | 一种基于Oracle Goldengate的数据同步监控告警方法及装置 |
CN112463543A (zh) * | 2020-12-17 | 2021-03-09 | 江苏苏宁云计算有限公司 | 业务数据的监控方法、规则数据生成方法、装置及系统 |
CN112925691B (zh) * | 2021-02-20 | 2024-05-24 | 中通天鸿(北京)通信科技股份有限公司 | 一种系统监控方法及装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101719846A (zh) * | 2008-10-09 | 2010-06-02 | 中国移动通信集团天津有限公司 | 安全监控方法、装置及系统 |
CN101751325A (zh) * | 2008-12-11 | 2010-06-23 | 成都吉胜科技有限责任公司 | 软件运行监控方法 |
CN101789866A (zh) * | 2010-02-03 | 2010-07-28 | 国家保密科学技术研究所 | 高可靠性安全隔离与信息交换方法 |
CN101827096A (zh) * | 2010-04-09 | 2010-09-08 | 潘燕辉 | 一种基于云计算的多用户协同安全防护系统和方法 |
CN102521099A (zh) * | 2011-11-24 | 2012-06-27 | 深圳市同洲视讯传媒有限公司 | 一种进程监控方法及进程监控系统 |
CN104036157A (zh) * | 2014-06-05 | 2014-09-10 | 蓝盾信息安全技术有限公司 | 一种基于综合特征值检测文件被篡改的方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8181248B2 (en) * | 2006-11-23 | 2012-05-15 | Electronics And Telecommunications Research Institute | System and method of detecting anomaly malicious code by using process behavior prediction technique |
CN104461830B (zh) * | 2014-12-19 | 2017-09-22 | 北京奇虎科技有限公司 | 监控进程的方法和装置 |
-
2014
- 2014-12-19 CN CN201410806559.3A patent/CN104461830B/zh not_active Expired - Fee Related
-
2015
- 2015-11-09 WO PCT/CN2015/094152 patent/WO2016095626A1/zh active Application Filing
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101719846A (zh) * | 2008-10-09 | 2010-06-02 | 中国移动通信集团天津有限公司 | 安全监控方法、装置及系统 |
CN101751325A (zh) * | 2008-12-11 | 2010-06-23 | 成都吉胜科技有限责任公司 | 软件运行监控方法 |
CN101789866A (zh) * | 2010-02-03 | 2010-07-28 | 国家保密科学技术研究所 | 高可靠性安全隔离与信息交换方法 |
CN101827096A (zh) * | 2010-04-09 | 2010-09-08 | 潘燕辉 | 一种基于云计算的多用户协同安全防护系统和方法 |
CN102521099A (zh) * | 2011-11-24 | 2012-06-27 | 深圳市同洲视讯传媒有限公司 | 一种进程监控方法及进程监控系统 |
CN104036157A (zh) * | 2014-06-05 | 2014-09-10 | 蓝盾信息安全技术有限公司 | 一种基于综合特征值检测文件被篡改的方法 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109002705A (zh) * | 2018-06-20 | 2018-12-14 | 苏州科达科技股份有限公司 | 进程认证方法、装置及服务器 |
Also Published As
Publication number | Publication date |
---|---|
CN104461830A (zh) | 2015-03-25 |
WO2016095626A1 (zh) | 2016-06-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104461830B (zh) | 监控进程的方法和装置 | |
CN106506556B (zh) | 一种网络流量异常检测方法及装置 | |
US20150346066A1 (en) | Asset Condition Monitoring | |
US20170139759A1 (en) | Pattern analytics for real-time detection of known significant pattern signatures | |
US20170293757A1 (en) | Systems and Methods for Enhancing Control System Security by Detecting Anomalies in Descriptive Characteristics of Data | |
CN105429801B (zh) | 一种流量监控方法和装置 | |
CN109688166A (zh) | 一种异常外发行为检测方法及装置 | |
CN110808994A (zh) | 暴力破解操作的检测方法、装置及服务器 | |
CN105530138A (zh) | 一种数据监控方法及装置 | |
US10623426B1 (en) | Building a ground truth dataset for a machine learning-based security application | |
EP3644184A1 (en) | System and method for anomaly characterization based on joint historical and time-series analysis | |
EP2284752A2 (en) | Intrusion detection systems and methods | |
CN112437037B (zh) | 基于sketch的DDoS洪泛攻击检测方法及装置 | |
CN105100023B (zh) | 数据包特征提取方法及装置 | |
Naik et al. | Augmented YARA rules fused with fuzzy hashing in ransomware triaging | |
CN112105939A (zh) | 用于监测致动器系统的装置、用于提供用于监测致动器系统的装置的方法以及用于监测致动器系统的方法 | |
JP6711452B2 (ja) | 抽出装置、抽出方法、及びプログラム | |
US20060008083A1 (en) | Random number verification method and random number verification apparatus | |
CN104915593B (zh) | 对软件的去捆绑处理方法及系统 | |
KR20180117204A (ko) | 침입 검지 장치, 침입 검지 방법 및 기억 매체에 저장된 침입 검지 프로그램 | |
US20180069835A1 (en) | Packet filtering apparatus and packet filtering method | |
CN104901833A (zh) | 一种发现异常设备的方法及装置 | |
WO2019099929A1 (en) | Using a machine learning model in quantized steps for malware detection | |
CN110162973A (zh) | 一种Webshell文件检测方法及装置 | |
JP2016146580A (ja) | 通信監視システム、通信監視方法およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170922 Termination date: 20211219 |
|
CF01 | Termination of patent right due to non-payment of annual fee |