監(jiān)控進(jìn)程的方法和裝置制造方法
【專利摘要】本發(fā)明提供了一種監(jiān)控進(jìn)程的方法和裝置�����,該方法包括:多次獲取指定的被監(jiān)控文件的當(dāng)前文件特征信息��,其中�,所述被監(jiān)控文件由被監(jiān)控進(jìn)程運(yùn)行時(shí)產(chǎn)生��;根據(jù)預(yù)設(shè)的監(jiān)控策略對多次獲取的所述當(dāng)前文件特征信息進(jìn)行處理�����,得到當(dāng)前文件特征參數(shù)�;比對所述當(dāng)前文件特征參數(shù)與所述被監(jiān)控文件的合法文件特性參數(shù);以及根據(jù)比對結(jié)果確定所述被監(jiān)控進(jìn)程是否異常。本發(fā)明提供的技術(shù)方案準(zhǔn)確地判斷被監(jiān)控進(jìn)程是否異常���,從而解決了相關(guān)技術(shù)中通過監(jiān)測端口的方式存在的不可靠的問題���。
【專利說明】監(jiān)控進(jìn)程的方法和裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)【技術(shù)領(lǐng)域】,特別是一種監(jiān)控進(jìn)程的方法和裝置��。
【背景技術(shù)】
[0002]進(jìn)程是操作系統(tǒng)結(jié)構(gòu)的基礎(chǔ)����,是一種具有獨(dú)立功能的程序。它可以申請和擁有系統(tǒng)資源����,是一個動態(tài)的概念,是一個活動的實(shí)體�����。進(jìn)程不只是程序的代碼�,還包括當(dāng)前的活動,通過程序計(jì)數(shù)器的值和處理寄存器的內(nèi)容來表示�����。
[0003]由于各種可預(yù)見或不可預(yù)見的因素,進(jìn)程在運(yùn)行時(shí)會出現(xiàn)異常情況�����,如異常退出����、阻塞、僵死或被病毒感染等情況�。因而需要通過監(jiān)控進(jìn)程的方式及時(shí)發(fā)現(xiàn)異常,并進(jìn)行處理����,從而減少不必要的損失。相關(guān)技術(shù)中����,可以通過監(jiān)測端口是否開啟或者能否采集到數(shù)據(jù)來確定進(jìn)程是否存活���。然而�,在實(shí)際應(yīng)用中����,一些進(jìn)程的端口雖然開啟并能夠采集到數(shù)據(jù)��,但是這些進(jìn)程是處于僵死或被病毒感染的狀態(tài)�。因而�,對于這類進(jìn)程,采用相關(guān)技術(shù)中的監(jiān)測端口的方式是不可靠的�����,亟需提供一種監(jiān)測此類進(jìn)程的方案���。
【發(fā)明內(nèi)容】
[0004]鑒于上述問題��,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的監(jiān)控進(jìn)程的方法和裝置�����。
[0005]依據(jù)本發(fā)明的一個方面��,提供了一種監(jiān)控進(jìn)程的方法�����,包括:多次獲取指定的被監(jiān)控文件的當(dāng)前文件特征信息��,其中���,所述被監(jiān)控文件由被監(jiān)控進(jìn)程運(yùn)行時(shí)產(chǎn)生���;根據(jù)預(yù)設(shè)的監(jiān)控策略對多次獲取的所述當(dāng)前文件特征信息進(jìn)行處理,得到當(dāng)前文件特征參數(shù)�����;比對所述當(dāng)前文件特征參數(shù)與所述被監(jiān)控文件的合法文件特性參數(shù)�,以獲取比對結(jié)果;以及根據(jù)比對結(jié)果確定所述被監(jiān)控進(jìn)程是否異常�。
[0006]可選地,所述當(dāng)前文件特征信息為當(dāng)前文件的最后修改時(shí)間���,
[0007]所述根據(jù)預(yù)設(shè)的監(jiān)控策略對多次獲取的所述當(dāng)前文件特征信息進(jìn)行處理���,得到當(dāng)前文件特征參數(shù)的步驟進(jìn)一步包括:根據(jù)多次獲取的所述當(dāng)前文件的最后修改時(shí)間,計(jì)算當(dāng)前文件的修改時(shí)間間隔�����;以及
[0008]所述比對所述當(dāng)前文件特征參數(shù)與所述被監(jiān)控文件的合法文件特性參數(shù)�����,以獲取比對結(jié)果的步驟進(jìn)一步包括:比對所述當(dāng)前文件的修改時(shí)間間隔與所述被監(jiān)控文件的合法修改時(shí)間間隔���,以獲取比對結(jié)果��。
[0009]可選地�,所述根據(jù)比對結(jié)果確定所述被監(jiān)控進(jìn)程是否異常的步驟進(jìn)一步包括:若所述當(dāng)前文件的修改時(shí)間間隔大于所述合法修改時(shí)間間隔���,則確定所述被監(jiān)控進(jìn)程異常���。
[0010]可選地,所述根據(jù)比對結(jié)果確定所述被監(jiān)控進(jìn)程是否異常的步驟進(jìn)一步包括:若所述當(dāng)前文件的修改時(shí)間間隔小于所述合法修改時(shí)間間隔��,則確定所述被監(jiān)控進(jìn)程異常����。
[0011]可選地,所述當(dāng)前文件特征信息為指定文件內(nèi)容���,
[0012]所述根據(jù)預(yù)設(shè)的監(jiān)控策略對多次獲取的所述當(dāng)前文件特征信息進(jìn)行處理����,得到當(dāng)前文件特征參數(shù)的步驟進(jìn)一步包括:根據(jù)多次獲取的所述指定文件內(nèi)容��,統(tǒng)計(jì)所述指定文件內(nèi)容的出現(xiàn)頻率;
[0013]所述比對所述當(dāng)前文件特征參數(shù)與所述被監(jiān)控進(jìn)程運(yùn)行時(shí)所述被監(jiān)控文件的合法文件特性參數(shù)����,以獲取比對結(jié)果的步驟進(jìn)一步包括:比對所述指定文件內(nèi)容的出現(xiàn)頻率與所述被監(jiān)控文件的合法出現(xiàn)頻率,以獲取比對結(jié)果�����。
[0014]可選地�����,所述根據(jù)比對結(jié)果確定所述被監(jiān)控進(jìn)程是否異常的步驟進(jìn)一步包括:若所述指定文件內(nèi)容的出現(xiàn)頻率大于所述合法出現(xiàn)頻率�,則確定所述被監(jiān)控進(jìn)程異常。
[0015]可選地�,所述根據(jù)比對結(jié)果確定所述被監(jiān)控進(jìn)程是否異常的步驟進(jìn)一步包括:若所述指定文件內(nèi)容的出現(xiàn)頻率小于所述合法出現(xiàn)頻率,則確定所述被監(jiān)控進(jìn)程異常�。
[0016]可選地,所述多次獲取指定的被監(jiān)控文件的當(dāng)前文件特征信息的步驟進(jìn)一步包括:
[0017]多次獲取所述被監(jiān)控進(jìn)程對應(yīng)的日志文件�;以及
[0018]依據(jù)所述日志文件獲取所述被監(jiān)控文件的當(dāng)前文件特征信息。
[0019]可選地�����,所述方法還包括:在確定所述被監(jiān)控進(jìn)程異常之后,發(fā)出異常報(bào)警��。
[0020]依據(jù)本發(fā)明的另一個方面��,還提供了一種監(jiān)控進(jìn)程的裝置�����,包括:
[0021]獲取模塊����,適于多次獲取指定的被監(jiān)控文件的當(dāng)前文件特征信息���,其中��,所述被監(jiān)控文件由被監(jiān)控進(jìn)程運(yùn)行時(shí)產(chǎn)生�����;
[0022]處理模塊��,適于根據(jù)預(yù)設(shè)的監(jiān)控策略對多次獲取的所述當(dāng)前文件特征信息進(jìn)行處理�����,得到當(dāng)前文件特征參數(shù)���;
[0023]比對模塊����,適于比對所述當(dāng)前文件特征參數(shù)與所述被監(jiān)控文件的合法文件特性參數(shù)�����,以獲取比對結(jié)果���;以及
[0024]確定模塊�,適于根據(jù)比對結(jié)果確定所述被監(jiān)控進(jìn)程是否異常��。
[0025]可選地���,所述當(dāng)前文件特征信息為當(dāng)前文件的最后修改時(shí)間�,
[0026]所述處理模塊���,還適于根據(jù)多次獲取的所述當(dāng)前文件的最后修改時(shí)間�����,計(jì)算當(dāng)前文件的修改時(shí)間間隔���;以及
[0027]所述比對模塊����,還適于比對所述當(dāng)前文件的修改時(shí)間間隔與所述被監(jiān)控文件的合法修改時(shí)間間隔����,以獲取比對結(jié)果����。
[0028]可選地,所述確定模塊還適于:若所述當(dāng)前文件的修改時(shí)間間隔大于所述合法修改時(shí)間間隔��,則確定所述被監(jiān)控進(jìn)程異常��。
[0029]可選地����,所述確定模塊還適于:若所述當(dāng)前文件的修改時(shí)間間隔小于所述合法修改時(shí)間間隔,則確定所述被監(jiān)控進(jìn)程異常�����。
[0030]可選地,所述當(dāng)前文件特征信息為指定文件內(nèi)容�����,
[0031]所述處理模塊����,還適于根據(jù)多次獲取的所述指定文件內(nèi)容,統(tǒng)計(jì)所述指定文件內(nèi)容的出現(xiàn)頻率�����;
[0032]所述比對模塊��,還適于比對所述指定文件內(nèi)容的出現(xiàn)頻率與所述被監(jiān)控文件的合法出現(xiàn)頻率����,以獲取比對結(jié)果。
[0033]可選地���,所述確定模塊還適于:若所述指定文件內(nèi)容的出現(xiàn)頻率大于所述合法出現(xiàn)頻率�����,則確定所述被監(jiān)控進(jìn)程異常���。
[0034]可選地����,所述確定模塊還適于:若所述指定文件內(nèi)容的出現(xiàn)頻率小于所述合法出現(xiàn)頻率��,則確定所述被監(jiān)控進(jìn)程異常����。
[0035]可選地�����,所述獲取模塊還適于:多次獲取所述被監(jiān)控進(jìn)程對應(yīng)的日志文件���;以及依據(jù)所述日志文件獲取所述被監(jiān)控文件的當(dāng)前文件特征信息�����。
[0036]可選地���,所述裝置還包括:報(bào)警模塊,適于在所述確定模塊確定所述被監(jiān)控進(jìn)程異常之后�����,發(fā)出異常報(bào)警。
[0037]依據(jù)本發(fā)明提供的技術(shù)方案�,由于被監(jiān)控進(jìn)程運(yùn)行時(shí)產(chǎn)生的被監(jiān)控文件的當(dāng)前文件特征信息能夠客觀、準(zhǔn)確地反映被監(jiān)控進(jìn)程的魯棒性���,根據(jù)預(yù)設(shè)的監(jiān)控策略對當(dāng)前文件特征信息進(jìn)行處理�,得到當(dāng)前文件特征參數(shù)��,進(jìn)而比對當(dāng)前文件特征參數(shù)與被監(jiān)控進(jìn)程運(yùn)行時(shí)被監(jiān)控文件的合法文件特性參數(shù)��,根據(jù)比對結(jié)果確定被監(jiān)控進(jìn)程是否異常�,由此能夠準(zhǔn)確地判斷被監(jiān)控進(jìn)程是否異常,從而解決了相關(guān)技術(shù)中通過監(jiān)測端口的方式存在的不可靠的問題��。并且����,當(dāng)監(jiān)測到進(jìn)程異常時(shí)發(fā)出異常報(bào)警信息,從而能夠及時(shí)對異常進(jìn)程進(jìn)行處理��,提高進(jìn)程運(yùn)行的穩(wěn)定性���。
[0038]上述說明僅是本發(fā)明技術(shù)方案的概述��,為了能夠更清楚了解本發(fā)明的技術(shù)手段��,而可依照說明書的內(nèi)容予以實(shí)施�����,并且為了讓本發(fā)明的上述和其它目的�����、特征和優(yōu)點(diǎn)能夠更明顯易懂����,以下特舉本發(fā)明的【具體實(shí)施方式】。
[0039]根據(jù)下文結(jié)合附圖對本發(fā)明具體實(shí)施例的詳細(xì)描述�����,本領(lǐng)域技術(shù)人員將會更加明了本發(fā)明的上述以及其他目的�����、優(yōu)點(diǎn)和特征��。
【專利附圖】
【附圖說明】
[0040]通過閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述���,各種其他的優(yōu)點(diǎn)和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了����。附圖僅用于示出優(yōu)選實(shí)施方式的目的�,而并不認(rèn)為是對本發(fā)明的限制。而且在整個附圖中�����,用相同的參考符號表示相同的部件�����。在附圖中:
[0041]圖1示出了根據(jù)本發(fā)明一個實(shí)施例的監(jiān)控進(jìn)程的方法的流程示意圖��;
[0042]圖2示出了根據(jù)本發(fā)明另一個實(shí)施例的監(jiān)控進(jìn)程的方法的流程示意圖�;
[0043]圖3示出了根據(jù)本發(fā)明又一個實(shí)施例的監(jiān)控進(jìn)程的方法的流程示意圖;
[0044]圖4示出了根據(jù)本發(fā)明一個實(shí)施例的監(jiān)控進(jìn)程的裝置的結(jié)構(gòu)示意圖�����;以及
[0045]圖5示出了根據(jù)本發(fā)明另一個實(shí)施例的監(jiān)控進(jìn)程的裝置的結(jié)構(gòu)示意圖��。
【具體實(shí)施方式】
[0046]下面將參照附圖更詳細(xì)地描述本公開的示例性實(shí)施例�����。雖然附圖中顯示了本公開的示例性實(shí)施例,然而應(yīng)當(dāng)理解�����,可以以各種形式實(shí)現(xiàn)本公開而不應(yīng)被這里闡述的實(shí)施例所限制�����。相反���,提供這些實(shí)施例是為了能夠更透徹地理解本公開����,并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員���。
[0047]為解決上述技術(shù)問題,本發(fā)明實(shí)施例提供了一種監(jiān)控進(jìn)程的方法���,圖1示出了根據(jù)本發(fā)明一個實(shí)施例的監(jiān)控進(jìn)程的方法的流程示意圖��。如圖1所示��,該方法至少包括以下步驟S102�����、步驟S104�、步驟S106以及步驟S108。
[0048]步驟S102���、多次獲取指定的被監(jiān)控文件的當(dāng)前文件特征信息����,其中��,被監(jiān)控文件由被監(jiān)控進(jìn)程運(yùn)行時(shí)產(chǎn)生���。
[0049]步驟S104�����、根據(jù)預(yù)設(shè)的監(jiān)控策略對多次獲取的當(dāng)前文件特征信息進(jìn)行處理���,得到當(dāng)前文件特征參數(shù)。
[0050]步驟S106、比對當(dāng)前文件特征參數(shù)與被監(jiān)控文件的合法文件特性參數(shù)����,以獲取比對結(jié)果。
[0051]步驟S108����、根據(jù)比對結(jié)果確定被監(jiān)控進(jìn)程是否異常。
[0052]依據(jù)本發(fā)明提供的技術(shù)方案��,由于被監(jiān)控進(jìn)程運(yùn)行時(shí)產(chǎn)生的被監(jiān)控文件的當(dāng)前文件特征信息能夠客觀���、準(zhǔn)確地反映被監(jiān)控進(jìn)程的魯棒性��,根據(jù)預(yù)設(shè)的監(jiān)控策略對當(dāng)前文件特征信息進(jìn)行處理����,得到當(dāng)前文件特征參數(shù)�,進(jìn)而比對當(dāng)前文件特征參數(shù)與被監(jiān)控進(jìn)程運(yùn)行時(shí)被監(jiān)控文件的合法文件特性參數(shù),根據(jù)比對結(jié)果確定被監(jiān)控進(jìn)程是否異常���,由此能夠準(zhǔn)確地判斷被監(jiān)控進(jìn)程是否異常�����,從而解決了相關(guān)技術(shù)中通過監(jiān)測端口的方式存在的不可靠的問題���。并且,當(dāng)監(jiān)測到進(jìn)程異常時(shí)發(fā)出異常報(bào)警信息�����,從而能夠及時(shí)對異常進(jìn)程進(jìn)行處理����,提高進(jìn)程運(yùn)行的穩(wěn)定性。
[0053]上文步驟S102提及的當(dāng)前文件特征信息是指能夠表現(xiàn)文件特征的信息����,可以是當(dāng)前文件修改時(shí)間、指定文件內(nèi)容�、文件存儲路徑等等,本發(fā)明不限于此�。進(jìn)一步地,多次獲取指定的被監(jiān)控文件的當(dāng)前文件特征信息可以是根據(jù)預(yù)設(shè)的時(shí)間周期實(shí)現(xiàn)多次獲取��,或者實(shí)時(shí)進(jìn)行獲取��,又或者在預(yù)設(shè)的時(shí)間段內(nèi)實(shí)現(xiàn)多次獲取����,等等���。此外,可以多次獲取被監(jiān)控進(jìn)程對應(yīng)的日志文件�,進(jìn)而依據(jù)日志文件獲取被監(jiān)控文件的當(dāng)前文件特征信息。
[0054]當(dāng)多次獲取的當(dāng)前文件特征信息不相同時(shí)����,步驟S104以及步驟S106的處理方式也有所不同,下面詳細(xì)介紹當(dāng)前文件特征信息分別為當(dāng)前文件的最后修改時(shí)間和指定文件內(nèi)容時(shí)步驟S104以及步驟S106的處理方式�。
[0055]首先,當(dāng)前文件特征信息為當(dāng)前文件的最后修改時(shí)間時(shí)�����,本發(fā)明提供了一種優(yōu)選的實(shí)施步驟S104的方案��,在該方案中��,可以根據(jù)多次獲取的當(dāng)前文件的最后修改時(shí)間��,計(jì)算當(dāng)前文件的修改時(shí)間間隔�����。此時(shí),可以比對當(dāng)前文件的修改時(shí)間間隔與被監(jiān)控進(jìn)程運(yùn)行時(shí)被監(jiān)控文件的合法修改時(shí)間間隔���,根據(jù)比對結(jié)果確定被監(jiān)控進(jìn)程是否異常。進(jìn)一步地���,在本發(fā)明實(shí)施例中��,設(shè)置兩個合法修改時(shí)間間隔閾值����,分別為第一間隔閾值和第二間隔閾值����,且第一間隔閾值大于第二間隔閾值,當(dāng)前文件的修改時(shí)間間隔與合法修改時(shí)間間隔(第一間隔閾值或第二間隔閾值)的比對結(jié)果有如下幾種情況:
[0056]在判斷被監(jiān)控進(jìn)程是否僵死或阻塞的實(shí)施例中����,若當(dāng)前文件的修改時(shí)間間隔超過第一間隔閾值,說明被監(jiān)控文件遲遲沒有被修改�����,則確定被監(jiān)控進(jìn)程僵死或阻塞��;否則,確定被監(jiān)控進(jìn)程沒有僵死或沒有阻塞����;
[0057]在判斷被監(jiān)控進(jìn)程是否遭到攻擊的實(shí)施例中,若當(dāng)前文件的修改時(shí)間間隔低于第二間隔閾值���,說明被監(jiān)控文件被修改頻繁��,則確定被監(jiān)控進(jìn)程被攻擊�����;否則�,確定被監(jiān)控進(jìn)程沒有被攻擊�����。
[0058]舉例來說��,被監(jiān)控進(jìn)程運(yùn)行時(shí)產(chǎn)生的被監(jiān)控文件A����,其在預(yù)設(shè)的時(shí)間周期TO內(nèi)的設(shè)置兩個合法修改時(shí)間間隔為to和too,且to大于too�����,監(jiān)控進(jìn)程每隔預(yù)設(shè)的時(shí)間周期TO獲取被監(jiān)控文件A的當(dāng)前文件的最后修改時(shí)間,不妨假設(shè)獲取了四次當(dāng)前文件的最后修改時(shí)間依次為tl�����、t2����、t3���、t4���,得到的當(dāng)前文件的修改時(shí)間間隔為t2-tl、t3-t2����、t4-t3,對于每個當(dāng)前文件的修改時(shí)間間隔����,比對其與to或too的大小關(guān)系有如下幾種情況。
[0059]在判斷被監(jiān)控進(jìn)程是否僵死或阻塞的實(shí)施例中�,若當(dāng)前文件的修改時(shí)間間隔超過to,說明在預(yù)設(shè)的時(shí)間周期TO內(nèi)被監(jiān)控文件A未被修改����,從而確定被監(jiān)控進(jìn)程僵死或阻塞���。反之�����,若當(dāng)前文件的修改時(shí)間間隔不超過t0���,說明在預(yù)設(shè)的時(shí)間周期TO內(nèi)被監(jiān)控文件A已被修改,則確定被監(jiān)控進(jìn)程沒有僵死或沒有阻塞��。
[0060]在判斷被監(jiān)控進(jìn)程是否遭到攻擊的實(shí)施例中����,若當(dāng)前文件的修改時(shí)間間隔低于too,說明在預(yù)設(shè)的時(shí)間周期TO內(nèi)被監(jiān)控文件A被修改頻繁,從而確定被監(jiān)控進(jìn)程被攻擊�。反之,若當(dāng)前文件的修改時(shí)間間隔超過too����,則確定被監(jiān)控進(jìn)程沒有被攻擊。
[0061]如此進(jìn)行重復(fù)循環(huán)監(jiān)測���,當(dāng)監(jiān)測到進(jìn)程異常(如僵死��、阻塞或被攻擊)時(shí)發(fā)出異常報(bào)警信息(例如可以通過郵件����、消息等方式發(fā)出異常報(bào)警信息),從而能夠及時(shí)對異常進(jìn)程進(jìn)行處理���,提高進(jìn)程運(yùn)行的穩(wěn)定性�����。
[0062]其次,當(dāng)前文件特征信息為指定文件內(nèi)容時(shí)��,本發(fā)明實(shí)施例可以根據(jù)多次獲取的指定文件內(nèi)容���,統(tǒng)計(jì)指定文件內(nèi)容的出現(xiàn)頻率�。進(jìn)而比對指定文件內(nèi)容的出現(xiàn)頻率與被監(jiān)控文件的合法出現(xiàn)頻率�����,根據(jù)比對結(jié)果確定被監(jiān)控進(jìn)程是否異常�。這里的指定文件內(nèi)容可以是指定關(guān)鍵詞�����、指定的一行或多行文件關(guān)鍵信息等�,本發(fā)明不限于此�。進(jìn)一步地,在本發(fā)明的優(yōu)選實(shí)施例中�����,可以設(shè)置兩個合法出現(xiàn)頻率閾值�����,分別為第一頻率閾值和第二頻率閾值��,且第一頻率閾值大于第二頻率閾值���,指定文件內(nèi)容的出現(xiàn)頻率與合法出現(xiàn)頻率(第一頻率閾值或第二頻率閾值)比對結(jié)果有如下幾種情況:
[0063]在判斷被監(jiān)控進(jìn)程是否僵死或阻塞的實(shí)施例中����,若指定文件內(nèi)容的出現(xiàn)頻率小于第二頻率閾值�,說明被監(jiān)控文件不修改或少修改,則確定所述被監(jiān)控進(jìn)程僵死或阻塞;否貝1J�����,確定被監(jiān)控進(jìn)程沒有僵死或沒有阻塞�����;
[0064]在判斷被監(jiān)控進(jìn)程是否遭到攻擊的實(shí)施例中�,若指定文件內(nèi)容的出現(xiàn)頻率大于第一頻率閾值,說明被監(jiān)控文件被修改頻繁��,則確定被監(jiān)控進(jìn)程被攻擊�;否則,確定被監(jiān)控進(jìn)程沒有被攻擊����。
[0065]由此����,當(dāng)監(jiān)測到進(jìn)程異常(如僵死、阻塞或被攻擊)時(shí)發(fā)出異常報(bào)警信息�,從而能夠及時(shí)對異常進(jìn)程進(jìn)行處理,提高進(jìn)程運(yùn)行的穩(wěn)定性��。
[0066]以上介紹了圖1所示的實(shí)施例中各環(huán)節(jié)的多種實(shí)現(xiàn)方式,下面通過具體的優(yōu)選實(shí)施例對本發(fā)明實(shí)施例提供的監(jiān)控進(jìn)程的方法做進(jìn)一步說明����。
[0067]在本發(fā)明實(shí)施例的一種監(jiān)控方案中,設(shè)置兩個合法修改時(shí)間間隔閾值��,分別為第一間隔閾值和第二間隔閾值���,且第一間隔閾值大于第二間隔閾值�,通過比對當(dāng)前文件的修改時(shí)間間隔與合法修改時(shí)間間隔(第一間隔閾值和第二間隔閾值)來判斷被監(jiān)控進(jìn)程是否異常���,如被監(jiān)控進(jìn)程是否僵死或阻塞��,被監(jiān)控進(jìn)程是否遭到攻擊���。圖2示出了根據(jù)本發(fā)明另一個實(shí)施例的監(jiān)控進(jìn)程的方法的流程示意圖。如圖2所示�����,該方法包括以下步驟S202��、S204����、S206�����、S208�、S210�、S212、S214 以及步驟 S216��。
[0068]步驟S202�����、根據(jù)預(yù)設(shè)的時(shí)間間隔多次獲取指定的被監(jiān)控文件的當(dāng)前文件的最后修改時(shí)間���,其中��,被監(jiān)控文件由被監(jiān)控進(jìn)程運(yùn)行時(shí)產(chǎn)生�。
[0069]步驟S204���、根據(jù)步驟S202中多次獲取的當(dāng)前文件的最后修改時(shí)間,計(jì)算當(dāng)前文件的修改時(shí)間間隔���。
[0070]步驟S206����、判斷當(dāng)前文件的修改時(shí)間間隔是否超過第一間隔閾值,若是��,則繼續(xù)執(zhí)行步驟S208 ;若否����,則繼續(xù)執(zhí)行步驟S210。
[0071]步驟S208���、確定被監(jiān)控進(jìn)程僵死或阻塞�,發(fā)出異常報(bào)警�。
[0072]步驟S210、確定被監(jiān)控進(jìn)程沒有僵死或沒有阻塞����,并繼續(xù)執(zhí)行步驟S212。
[0073]步驟S212��、判斷當(dāng)前文件的修改時(shí)間間隔是否低于第二間隔閾值����,若是��,則繼續(xù)執(zhí)行步驟S214 ;若否��,則繼續(xù)執(zhí)行步驟S216����。
[0074]步驟S214�����、確定被監(jiān)控進(jìn)程被攻擊�����,發(fā)出異常報(bào)警���。
[0075]步驟S216�����、確定被監(jiān)控進(jìn)程正常��,并返回執(zhí)行步驟S202���。
[0076]本發(fā)明實(shí)施例中,根據(jù)預(yù)設(shè)的監(jiān)控策略對當(dāng)前文件的最后修改時(shí)間進(jìn)行處理�,得到當(dāng)前文件的修改時(shí)間間隔,進(jìn)而比對當(dāng)前文件的修改時(shí)間間隔與合法修改時(shí)間間隔�,根據(jù)比對結(jié)果確定被監(jiān)控進(jìn)程是否異常(如僵死、阻塞或被攻擊)�,由此能夠準(zhǔn)確地判斷被監(jiān)控進(jìn)程是否異常,從而解決了相關(guān)技術(shù)中通過監(jiān)測端口的方式存在的不可靠的問題���。并且�,當(dāng)監(jiān)測到進(jìn)程異常時(shí)發(fā)出異常報(bào)警信息�����,從而能夠及時(shí)對異常進(jìn)程進(jìn)行處理����,提高進(jìn)程運(yùn)行的穩(wěn)定性。
[0077]在本發(fā)明實(shí)施例的另一種監(jiān)控方案中�,設(shè)置兩個合法出現(xiàn)頻率閾值,分別為第一頻率閾值和第二頻率閾值�,且第一頻率閾值大于第二頻率閾值,通過比對指定文件內(nèi)容的出現(xiàn)頻率與合法出現(xiàn)頻率(第一頻率閾值或第二頻率閾值)來判斷被監(jiān)控進(jìn)程是否異常����,如被監(jiān)控進(jìn)程是否僵死或阻塞����,被監(jiān)控進(jìn)程是否遭到攻擊�����。圖3示出了根據(jù)本發(fā)明又一個實(shí)施例的監(jiān)控進(jìn)程的方法的流程示意圖�����。如圖3所示��,該方法包括以下步驟S302���、S304���、S306、S308��、S310��、S312����、S314 以及步驟 S316��。
[0078]步驟S302����、根據(jù)預(yù)設(shè)的時(shí)間間隔多次獲取指定的被監(jiān)控文件的指定文件內(nèi)容�����,其中,被監(jiān)控文件由被監(jiān)控進(jìn)程運(yùn)行時(shí)產(chǎn)生�。
[0079]步驟S304、根據(jù)多次獲取的指定文件內(nèi)容��,統(tǒng)計(jì)指定文件內(nèi)容的出現(xiàn)頻率��。
[0080]步驟S306、判斷指定文件內(nèi)容的出現(xiàn)頻率是否大于第一頻率閾值�,若是��,繼續(xù)執(zhí)行步驟S308 ;否則,繼續(xù)執(zhí)行步驟S310�。
[0081]步驟S308����、確定被監(jiān)控進(jìn)程被攻擊���,發(fā)出異常報(bào)警��。
[0082]步驟S310����、確定被監(jiān)控進(jìn)程沒有被攻擊,并繼續(xù)執(zhí)行步驟S312����。
[0083]步驟S312、判斷指定文件內(nèi)容的出現(xiàn)頻率是否小于第二頻率閾值�,若是,則繼續(xù)執(zhí)行步驟S314 ;否則�����,繼續(xù)執(zhí)行步驟S316。
[0084]步驟S314�����、確定被監(jiān)控進(jìn)程僵死或阻塞�����,發(fā)出異常報(bào)警���。
[0085]步驟S316、確定被監(jiān)控進(jìn)程正常����,并返回執(zhí)行步驟S302。
[0086]本發(fā)明實(shí)施例中��,根據(jù)預(yù)設(shè)的監(jiān)控策略對指定文件內(nèi)容進(jìn)行處理���,得到指定文件內(nèi)容的出現(xiàn)頻率,進(jìn)而比對指定文件內(nèi)容的出現(xiàn)頻率與合法出現(xiàn)頻率,根據(jù)比對結(jié)果確定被監(jiān)控進(jìn)程是否異常���,由此能夠準(zhǔn)確地判斷被監(jiān)控進(jìn)程是否異常���,從而解決了相關(guān)技術(shù)中通過監(jiān)測端口的方式存在的不可靠的問題���。并且���,當(dāng)監(jiān)測到進(jìn)程異常時(shí)發(fā)出異常報(bào)警信息,從而能夠及時(shí)對異常進(jìn)程進(jìn)行處理��,提高進(jìn)程運(yùn)行的穩(wěn)定性���。
[0087]需要說明的是����,實(shí)際應(yīng)用中���,上述所有可選實(shí)施方式可以采用結(jié)合的方式任意組合,形成本發(fā)明的可選實(shí)施例�,在此不再一一贅述。
[0088]基于同一發(fā)明構(gòu)思�,本發(fā)明實(shí)施例還提供了一種監(jiān)控進(jìn)程的裝置����,以實(shí)現(xiàn)上述監(jiān)控進(jìn)程的方法����。
[0089]圖4示出了根據(jù)本發(fā)明一個實(shí)施例的監(jiān)控進(jìn)程的裝置的結(jié)構(gòu)示意圖����。參見圖4,該裝置至少包括:獲取模塊410�����、處理模塊420、比對模塊430以及確定模塊440���。
[0090]現(xiàn)介紹本發(fā)明實(shí)施例的監(jiān)控進(jìn)程的裝置的各組成或器件的功能以及各部分間的連接關(guān)系:
[0091]獲取模塊410����,適于多次獲取指定的被監(jiān)控文件的當(dāng)前文件特征信息,其中��,被監(jiān)控文件由被監(jiān)控進(jìn)程運(yùn)行時(shí)產(chǎn)生��;
[0092]處理模塊420,與獲取模塊410相耦合�����,適于根據(jù)預(yù)設(shè)的監(jiān)控策略對多次獲取的當(dāng)前文件特征信息進(jìn)行處理����,得到當(dāng)前文件特征參數(shù);
[0093]比對模塊430���,與處理模塊420相耦合,適于比對當(dāng)前文件特征參數(shù)與被監(jiān)控文件的合法文件特性參數(shù)��,以獲取比對結(jié)果����;
[0094]確定模塊440,與比對模塊430相耦合�����,適于根據(jù)比對結(jié)果確定被監(jiān)控進(jìn)程是否異堂巾O
[0095]在本發(fā)明的一個實(shí)施例中�,當(dāng)前文件特征信息為當(dāng)前文件的最后修改時(shí)間,
[0096]上述處理模塊420,還適于根據(jù)多次獲取的所述當(dāng)前文件的最后修改時(shí)間���,計(jì)算當(dāng)前文件的修改時(shí)間間隔;以及
[0097]上述比對模塊430,還適于比對所述當(dāng)前文件的修改時(shí)間間隔與所述被監(jiān)控文件的合法修改時(shí)間間隔�,以獲取比對結(jié)果���。
[0098]在本發(fā)明的一個實(shí)施例中�����,上述確定模塊440還適于:若所述當(dāng)前文件的修改時(shí)間間隔大于所述合法修改時(shí)間間隔��,則確定所述被監(jiān)控進(jìn)程異常。
[0099]在本發(fā)明的一個實(shí)施例中�����,上述確定模塊440還適于:若所述當(dāng)前文件的修改時(shí)間間隔小于所述合法修改時(shí)間間隔,則確定所述被監(jiān)控進(jìn)程異常��。
[0100]在本發(fā)明的一個實(shí)施例中�,所述當(dāng)前文件特征信息為指定文件內(nèi)容�����,
[0101]上述處理模塊420,還適于根據(jù)多次獲取的所述指定文件內(nèi)容���,統(tǒng)計(jì)所述指定文件內(nèi)容的出現(xiàn)頻率;
[0102]上述比對模塊430�����,還適于比對所述指定文件內(nèi)容的出現(xiàn)頻率與所述被監(jiān)控文件的合法出現(xiàn)頻率,以獲取比對結(jié)果��。
[0103]在本發(fā)明的一個實(shí)施例中,上述確定模塊440還適于:若所述指定文件內(nèi)容的出現(xiàn)頻率大于所述合法出現(xiàn)頻率����,則確定所述被監(jiān)控進(jìn)程異常。
[0104]在本發(fā)明的一個實(shí)施例中�����,上述確定模塊440還適于:若所述指定文件內(nèi)容的出現(xiàn)頻率小于所述合法出現(xiàn)頻率���,則確定所述被監(jiān)控進(jìn)程異常��。
[0105]在本發(fā)明的一個實(shí)施例中����,上述獲取模塊410還適于:
[0106]多次獲取所述被監(jiān)控進(jìn)程對應(yīng)的日志文件;以及
[0107]依據(jù)所述日志文件獲取所述被監(jiān)控文件的當(dāng)前文件特征信息�����。
[0108]在本發(fā)明的一個實(shí)施例中����,圖5示出了根據(jù)本發(fā)明另一個實(shí)施例的監(jiān)控進(jìn)程的裝置的結(jié)構(gòu)示意圖。參見圖5��,該裝置還可以包括:報(bào)警模塊510,與確定模塊440相耦合�,適于在確定模塊440確定被監(jiān)控進(jìn)程異常之后,發(fā)出異常報(bào)警����。
[0109]根據(jù)上述任意一個優(yōu)選實(shí)施例或多個優(yōu)選實(shí)施例的組合����,本發(fā)明實(shí)施例能夠達(dá)到如下有益效果:
[0110]依據(jù)本發(fā)明提供的技術(shù)方案,由于被監(jiān)控進(jìn)程運(yùn)行時(shí)產(chǎn)生的被監(jiān)控文件的當(dāng)前文件特征信息能夠客觀�����、準(zhǔn)確地反映被監(jiān)控進(jìn)程的魯棒性����,根據(jù)預(yù)設(shè)的監(jiān)控策略對當(dāng)前文件特征信息進(jìn)行處理,得到當(dāng)前文件特征參數(shù)�,進(jìn)而比對當(dāng)前文件特征參數(shù)與被監(jiān)控進(jìn)程運(yùn)行時(shí)被監(jiān)控文件的合法文件特性參數(shù),根據(jù)比對結(jié)果確定被監(jiān)控進(jìn)程是否異常�����,由此能夠準(zhǔn)確地判斷被監(jiān)控進(jìn)程是否異常����,從而解決了相關(guān)技術(shù)中通過監(jiān)測端口的方式存在的不可靠的問題�����。并且�����,當(dāng)監(jiān)測到進(jìn)程異常時(shí)發(fā)出異常報(bào)警信息�����,從而能夠及時(shí)對異常進(jìn)程進(jìn)行處理���,提高進(jìn)程運(yùn)行的穩(wěn)定性。
[0111]本發(fā)明還公開了:
[0112]Al�����、一種監(jiān)控進(jìn)程的方法����,包括:
[0113]多次獲取指定的被監(jiān)控文件的當(dāng)前文件特征信息,其中��,所述被監(jiān)控文件是由被監(jiān)控進(jìn)程運(yùn)行時(shí)產(chǎn)生;
[0114]根據(jù)預(yù)設(shè)的監(jiān)控策略對多次獲取的所述當(dāng)前文件特征信息進(jìn)行處理����,得到當(dāng)前文件特征參數(shù);
[0115]比對所述當(dāng)前文件特征參數(shù)與所述被監(jiān)控文件的合法文件特性參數(shù)�,以獲取比對結(jié)果;以及
[0116]根據(jù)比對結(jié)果確定所述被監(jiān)控進(jìn)程是否異常���。
[0117]A2��、根據(jù)Al所述的方法,其中���,所述當(dāng)前文件特征信息為當(dāng)前文件的最后修改時(shí)間��,
[0118]所述根據(jù)預(yù)設(shè)的監(jiān)控策略對多次獲取的所述當(dāng)前文件特征信息進(jìn)行處理��,得到當(dāng)前文件特征參數(shù)的步驟進(jìn)一步包括:根據(jù)多次獲取的所述當(dāng)前文件的最后修改時(shí)間��,計(jì)算當(dāng)前文件的修改時(shí)間間隔�;以及
[0119]所述比對所述當(dāng)前文件特征參數(shù)與所述被監(jiān)控文件的合法文件特性參數(shù)����,以獲取比對結(jié)果的步驟進(jìn)一步包括:比對所述當(dāng)前文件的修改時(shí)間間隔與所述被監(jiān)控文件的合法修改時(shí)間間隔��,以獲取比對結(jié)果����。
[0120]A3��、根據(jù)A2所述的方法����,其中,所述根據(jù)比對結(jié)果確定所述被監(jiān)控進(jìn)程是否異常的步驟進(jìn)一步包括:
[0121]若所述當(dāng)前文件的修改時(shí)間間隔大于所述合法修改時(shí)間間隔����,則確定所述被監(jiān)控進(jìn)程異常。
[0122]A4�、根據(jù)A2所述的方法,其中����,所述根據(jù)比對結(jié)果確定所述被監(jiān)控進(jìn)程是否異常的步驟進(jìn)一步包括:
[0123]若所述當(dāng)前文件的修改時(shí)間間隔小于所述合法修改時(shí)間間隔,則確定所述被監(jiān)控進(jìn)程異常����。
[0124]A5、根據(jù)Al所述的方法�����,其中,所述當(dāng)前文件特征信息為指定文件內(nèi)容���,
[0125]所述根據(jù)預(yù)設(shè)的監(jiān)控策略對多次獲取的所述當(dāng)前文件特征信息進(jìn)行處理�����,得到當(dāng)前文件特征參數(shù)的步驟進(jìn)一步包括:根據(jù)多次獲取的所述指定文件內(nèi)容��,統(tǒng)計(jì)所述指定文件內(nèi)容的出現(xiàn)頻率��;
[0126]所述比對所述當(dāng)前文件特征參數(shù)與所述被監(jiān)控進(jìn)程運(yùn)行時(shí)所述被監(jiān)控文件的合法文件特性參數(shù)���,以獲取比對結(jié)果的步驟進(jìn)一步包括:比對所述指定文件內(nèi)容的出現(xiàn)頻率與所述被監(jiān)控文件的合法出現(xiàn)頻率����,以獲取比對結(jié)果。
[0127]A6���、根據(jù)A5所述的方法�,其中���,所述根據(jù)比對結(jié)果確定所述被監(jiān)控進(jìn)程是否異常的步驟進(jìn)一步包括:
[0128]若所述指定文件內(nèi)容的出現(xiàn)頻率大于所述合法出現(xiàn)頻率�����,則確定所述被監(jiān)控進(jìn)程異常����。
[0129]A7、根據(jù)A5所述的方法��,其中��,所述根據(jù)比對結(jié)果確定所述被監(jiān)控進(jìn)程是否異常的步驟進(jìn)一步包括:
[0130]若所述指定文件內(nèi)容的出現(xiàn)頻率小于所述合法出現(xiàn)頻率�����,則確定所述被監(jiān)控進(jìn)程異常���。
[0131]AS���、根據(jù)A1-A7任一項(xiàng)所述的方法,其中�,所述多次獲取指定的被監(jiān)控文件的當(dāng)前文件特征信息的步驟進(jìn)一步包括:
[0132]多次獲取所述被監(jiān)控進(jìn)程對應(yīng)的日志文件;以及
[0133]依據(jù)所述日志文件獲取所述被監(jiān)控文件的當(dāng)前文件特征信息。
[0134]A9�����、根據(jù)A1-A8任一項(xiàng)所述的方法�,還包括:
[0135]在確定所述被監(jiān)控進(jìn)程異常之后,發(fā)出異常報(bào)警�����。
[0136]B10����、一種監(jiān)控進(jìn)程的裝置,包括:
[0137]獲取模塊����,適于多次獲取指定的被監(jiān)控文件的當(dāng)前文件特征信息,其中����,所述被監(jiān)控文件由被監(jiān)控進(jìn)程運(yùn)行時(shí)產(chǎn)生���;
[0138]處理模塊���,適于根據(jù)預(yù)設(shè)的監(jiān)控策略對多次獲取的所述當(dāng)前文件特征信息進(jìn)行處理�����,得到當(dāng)前文件特征參數(shù)��;
[0139]比對模塊�����,適于比對所述當(dāng)前文件特征參數(shù)與所述被監(jiān)控文件的合法文件特性參數(shù)�,以獲取比對結(jié)果���;以及
[0140]確定模塊��,適于根據(jù)比對結(jié)果確定所述被監(jiān)控進(jìn)程是否異常��。
[0141]B11�、根據(jù)BlO所述的裝置����,其中,所述當(dāng)前文件特征信息為當(dāng)前文件的最后修改時(shí)間��,
[0142]所述處理模塊,還適于根據(jù)多次獲取的所述當(dāng)前文件的最后修改時(shí)間�,計(jì)算當(dāng)前文件的修改時(shí)間間隔;以及
[0143]所述比對模塊�����,還適于比對所述當(dāng)前文件的修改時(shí)間間隔與所述被監(jiān)控文件的合法修改時(shí)間間隔��,以獲取比對結(jié)果�。
[0144]B12、根據(jù)Bll所述的裝置�����,其中�����,所述確定模塊還適于:
[0145]若所述當(dāng)前文件的修改時(shí)間間隔大于所述合法修改時(shí)間間隔�,則確定所述被監(jiān)控進(jìn)程異常。
[0146]B13���、根據(jù)Bll所述的裝置�,其中����,所述確定模塊還適于:
[0147]若所述當(dāng)前文件的修改時(shí)間間隔小于所述合法修改時(shí)間間隔,則確定所述被監(jiān)控進(jìn)程異常�。
[0148]B14、根據(jù)BlO所述的裝置�����,其中��,所述當(dāng)前文件特征信息為指定文件內(nèi)容���,
[0149]所述處理模塊��,還適于根據(jù)多次獲取的所述指定文件內(nèi)容����,統(tǒng)計(jì)所述指定文件內(nèi)容的出現(xiàn)頻率��;
[0150]所述比對模塊�,還適于比對所述指定文件內(nèi)容的出現(xiàn)頻率與所述被監(jiān)控文件的合法出現(xiàn)頻率,以獲取比對結(jié)果����。
[0151]B15��、根據(jù)B14所述的裝置��,其中�����,所述確定模塊還適于:
[0152]若所述指定文件內(nèi)容的出現(xiàn)頻率大于所述合法出現(xiàn)頻率���,則確定所述被監(jiān)控進(jìn)程異常。
[0153]B16�、根據(jù)B14所述的裝置,其中�����,所述確定模塊還適于:
[0154]若所述指定文件內(nèi)容的出現(xiàn)頻率小于所述合法出現(xiàn)頻率����,則確定所述被監(jiān)控進(jìn)程異常。
[0155]B17�����、根據(jù)B10-B16任一項(xiàng)所述的裝置���,其中�����,所述獲取模塊還適于:
[0156]多次獲取所述被監(jiān)控進(jìn)程對應(yīng)的日志文件�����;以及
[0157]依據(jù)所述日志文件獲取所述被監(jiān)控文件的當(dāng)前文件特征信息���。
[0158]B18、根據(jù)B10-B17任一項(xiàng)所述的裝置����,其中,還包括:
[0159]報(bào)警模塊�����,適于在所述確定模塊確定所述被監(jiān)控進(jìn)程異常之后��,發(fā)出異常報(bào)警�����。
[0160]在此處所提供的說明書中,說明了大量具體細(xì)節(jié)���。然而��,能夠理解��,本發(fā)明的實(shí)施例可以在沒有這些具體細(xì)節(jié)的情況下實(shí)踐��。在一些實(shí)例中����,并未詳細(xì)示出公知的方法���、結(jié)構(gòu)和技術(shù)�,以便不模糊對本說明書的理解�。
[0161]類似地,應(yīng)當(dāng)理解����,為了精簡本公開并幫助理解各個發(fā)明方面中的一個或多個,在上面對本發(fā)明的示例性實(shí)施例的描述中��,本發(fā)明的各個特征有時(shí)被一起分組到單個實(shí)施例、圖���、或者對其的描述中��。然而�,并不應(yīng)將該公開的方法解釋成反映如下意圖:即所要求保護(hù)的本發(fā)明要求比在每個權(quán)利要求中所明確記載的特征更多的特征���。更確切地說,如下面的權(quán)利要求書所反映的那樣����,發(fā)明方面在于少于前面公開的單個實(shí)施例的所有特征。因此��,遵循【具體實(shí)施方式】的權(quán)利要求書由此明確地并入該【具體實(shí)施方式】�����,其中每個權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例�。
[0162]本領(lǐng)域那些技術(shù)人員可以理解,可以對實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們設(shè)置在與該實(shí)施例不同的一個或多個設(shè)備中�。可以把實(shí)施例中的模塊或單元或組件組合成一個模塊或單元或組件��,以及此外可以把它們分成多個子模塊或子單元或子組件����。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外����,可以采用任何組合對本說明書(包括伴隨的權(quán)利要求����、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進(jìn)行組合。除非另外明確陳述���,本說明書(包括伴隨的權(quán)利要求����、摘要和附圖)中公開的每個特征可以由提供相同��、等同或相似目的的替代特征來代替����。
[0163]此外,本領(lǐng)域的技術(shù)人員能夠理解���,盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征���,但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例���。例如,在權(quán)利要求書中����,所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來使用。
[0164]本發(fā)明的各個部件實(shí)施例可以以硬件實(shí)現(xiàn)�,或者以在一個或者多個處理器上運(yùn)行的軟件模塊實(shí)現(xiàn),或者以它們的組合實(shí)現(xiàn)����。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解��,可以在實(shí)踐中使用微處理器或者數(shù)字信號處理器(DSP)來實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的監(jiān)控進(jìn)程的裝置中的一些或者全部部件的一些或者全部功能��。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如��,計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)���。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲在計(jì)算機(jī)可讀介質(zhì)上���,或者可以具有一個或者多個信號的形式。這樣的信號可以從因特網(wǎng)網(wǎng)站上下載得到,或者在載體信號上提供����,或者以任何其他形式提供。
[0165]應(yīng)該注意的是上述實(shí)施例對本發(fā)明進(jìn)行說明而不是對本發(fā)明進(jìn)行限制����,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例。在權(quán)利要求中���,不應(yīng)將位于括號之間的任何參考符號構(gòu)造成對權(quán)利要求的限制�����。單詞“包括”不排除存在未列在權(quán)利要求中的元件或步驟�。位于元件之前的單詞“一”或“一個”不排除存在多個這樣的元件��。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來實(shí)現(xiàn)���。在列舉了若干裝置的單元權(quán)利要求中��,這些裝置中的若干個可以是通過同一個硬件項(xiàng)來具體體現(xiàn)����。單詞第一、第二�����、以及第三等的使用不表示任何順序���?��?蓪⑦@些單詞解釋為名稱。
[0166] 至此�����,本領(lǐng)域技術(shù)人員應(yīng)認(rèn)識到�����,雖然本文已詳盡示出和描述了本發(fā)明的多個示例性實(shí)施例�����,但是���,在不脫離本發(fā)明精神和范圍的情況下�����,仍可根據(jù)本發(fā)明公開的內(nèi)容直接確定或推導(dǎo)出符合本發(fā)明原理的許多其他變型或修改�。因此����,本發(fā)明的范圍應(yīng)被理解和認(rèn)定為覆蓋了所有這些其他變型或修改。
【權(quán)利要求】
1.一種監(jiān)控進(jìn)程的方法����,包括: 多次獲取指定的被監(jiān)控文件的當(dāng)前文件特征信息,其中���,所述被監(jiān)控文件是由被監(jiān)控進(jìn)程運(yùn)行時(shí)產(chǎn)生���; 根據(jù)預(yù)設(shè)的監(jiān)控策略對多次獲取的所述當(dāng)前文件特征信息進(jìn)行處理,得到當(dāng)前文件特征參數(shù)�; 比對所述當(dāng)前文件特征參數(shù)與所述被監(jiān)控文件的合法文件特性參數(shù),以獲取比對結(jié)果�����;以及 根據(jù)比對結(jié)果確定所述被監(jiān)控進(jìn)程是否異常���。
2.根據(jù)權(quán)利要求1所述的方法����,其中,所述當(dāng)前文件特征信息為當(dāng)前文件的最后修改時(shí)間��, 所述根據(jù)預(yù)設(shè)的監(jiān)控策略對多次獲取的所述當(dāng)前文件特征信息進(jìn)行處理�����,得到當(dāng)前文件特征參數(shù)的步驟進(jìn)一步包括:根據(jù)多次獲取的所述當(dāng)前文件的最后修改時(shí)間��,計(jì)算當(dāng)前文件的修改時(shí)間間隔�����;以及 所述比對所述當(dāng)前文件特征參數(shù)與所述被監(jiān)控文件的合法文件特性參數(shù)��,以獲取比對結(jié)果的步驟進(jìn)一步包括:比對所述當(dāng)前文件的修改時(shí)間間隔與所述被監(jiān)控文件的合法修改時(shí)間間隔��,以獲取比對結(jié)果�。
3.根據(jù)權(quán)利要求2所述的方法�����,其中,所述根據(jù)比對結(jié)果確定所述被監(jiān)控進(jìn)程是否異常的步驟進(jìn)一步包括: 若所述當(dāng)前文件的修改時(shí)間間隔大于所述合法修改時(shí)間間隔�����,則確定所述被監(jiān)控進(jìn)程異常����。
4.根據(jù)權(quán)利要求2所述的方法,其中�����,所述根據(jù)比對結(jié)果確定所述被監(jiān)控進(jìn)程是否異常的步驟進(jìn)一步包括: 若所述當(dāng)前文件的修改時(shí)間間隔小于所述合法修改時(shí)間間隔����,則確定所述被監(jiān)控進(jìn)程異常。
5.根據(jù)權(quán)利要求1所述的方法����,其中,所述當(dāng)前文件特征信息為指定文件內(nèi)容����, 所述根據(jù)預(yù)設(shè)的監(jiān)控策略對多次獲取的所述當(dāng)前文件特征信息進(jìn)行處理,得到當(dāng)前文件特征參數(shù)的步驟進(jìn)一步包括:根據(jù)多次獲取的所述指定文件內(nèi)容�����,統(tǒng)計(jì)所述指定文件內(nèi)容的出現(xiàn)頻率; 所述比對所述當(dāng)前文件特征參數(shù)與所述被監(jiān)控進(jìn)程運(yùn)行時(shí)所述被監(jiān)控文件的合法文件特性參數(shù)�,以獲取比對結(jié)果的步驟進(jìn)一步包括:比對所述指定文件內(nèi)容的出現(xiàn)頻率與所述被監(jiān)控文件的合法出現(xiàn)頻率,以獲取比對結(jié)果�。
6.根據(jù)權(quán)利要求5所述的方法,其中�����,所述根據(jù)比對結(jié)果確定所述被監(jiān)控進(jìn)程是否異常的步驟進(jìn)一步包括: 若所述指定文件內(nèi)容的出現(xiàn)頻率大于所述合法出現(xiàn)頻率��,則確定所述被監(jiān)控進(jìn)程異堂巾O
7.根據(jù)權(quán)利要求5所述的方法�����,其中����,所述根據(jù)比對結(jié)果確定所述被監(jiān)控進(jìn)程是否異常的步驟進(jìn)一步包括: 若所述指定文件內(nèi)容的出現(xiàn)頻率小于所述合法出現(xiàn)頻率,則確定所述被監(jiān)控進(jìn)程異堂巾O
8.根據(jù)權(quán)利要求1-7任一項(xiàng)所述的方法�,其中,所述多次獲取指定的被監(jiān)控文件的當(dāng)前文件特征信息的步驟進(jìn)一步包括: 多次獲取所述被監(jiān)控進(jìn)程對應(yīng)的日志文件���;以及 依據(jù)所述日志文件獲取所述被監(jiān)控文件的當(dāng)前文件特征信息�。
9.根據(jù)權(quán)利要求1-8任一項(xiàng)所述的方法����,還包括: 在確定所述被監(jiān)控進(jìn)程異常之后,發(fā)出異常報(bào)警��。
10.一種監(jiān)控進(jìn)程的裝置�,包括: 獲取模塊,適于多次獲取指定的被監(jiān)控文件的當(dāng)前文件特征信息��,其中����,所述被監(jiān)控文件由被監(jiān)控進(jìn)程運(yùn)行時(shí)產(chǎn)生; 處理模塊�,適于根據(jù)預(yù)設(shè)的監(jiān)控策略對多次獲取的所述當(dāng)前文件特征信息進(jìn)行處理,得到當(dāng)前文件特征參數(shù)�����; 比對模塊����,適于比對所述當(dāng)前文件特征參數(shù)與所述被監(jiān)控文件的合法文件特性參數(shù),以獲取比對結(jié)果;以及 確定模塊��,適于根據(jù)比對結(jié)果確定所述被監(jiān)控進(jìn)程是否異常�。
【文檔編號】G06F11/30GK104461830SQ201410806559
【公開日】2015年3月25日 申請日期:2014年12月19日 優(yōu)先權(quán)日:2014年12月19日
【發(fā)明者】楊艷杰 申請人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司