技術領域

本發明涉及計算機技術領域，特別是一種監控進程的方法和裝置。

背景技術

進程是操作系統結構的基礎，是一種具有獨立功能的程序。它可以申請和擁有系統資源，是一個動態的概念，是一個活動的實體。進程不只是程序的代碼，還包括當前的活動，通過程序計數器的值和處理寄存器的內容來表示。

由于各種可預見或不可預見的因素，進程在運行時會出現異常情況，如異常退出、阻塞、僵死或被病毒感染等情況。因而需要通過監控進程的方式及時發現異常，并進行處理，從而減少不必要的損失。相關技術中，可以通過監測端口是否開啟或者能否采集到數據來確定進程是否存活。然而，在實際應用中，一些進程的端口雖然開啟并能夠采集到數據，但是這些進程是處于僵死或被病毒感染的狀態。因而，對于這類進程，采用相關技術中的監測端口的方式是不可靠的，亟需提供一種監測此類進程的方案。

發明內容

鑒于上述問題，提出了本發明以便提供一種克服上述問題或者至少部分地解決上述問題的監控進程的方法和裝置。

依據本發明的一個方面，提供了一種監控進程的方法，包括：多次獲取指定的被監控文件的當前文件特征信息，其中，所述被監控文件由被監控進程運行時產生；根據預設的監控策略對多次獲取的所述當前文件特征信息進行處理，得到當前文件特征參數；比對所述當前文件特征參數與所述被監控文件的合法文件特性參數，以獲取比對結果；以及根據比對結果確定所述被監控進程是否異常。

可選地，所述當前文件特征信息為當前文件的最后修改時間，

所述根據預設的監控策略對多次獲取的所述當前文件特征信息進行處理，得到當前文件特征參數的步驟進一步包括：根據多次獲取的所述當前文件的最后修改時間，計算當前文件的修改時間間隔；以及

所述比對所述當前文件特征參數與所述被監控文件的合法文件特性參數，以獲取比對結果的步驟進一步包括：比對所述當前文件的修改時間間隔與所述被監控文件的合法修改時間間隔，以獲取比對結果。

可選地，所述根據比對結果確定所述被監控進程是否異常的步驟進一步包括：若所述當前文件的修改時間間隔大于所述合法修改時間間隔，則確定所述被監控進程異常。

可選地，所述根據比對結果確定所述被監控進程是否異常的步驟進一步包括：若所述當前文件的修改時間間隔小于所述合法修改時間間隔，則確定所述被監控進程異常。

可選地，所述當前文件特征信息為指定文件內容，

所述根據預設的監控策略對多次獲取的所述當前文件特征信息進行處理，得到當前文件特征參數的步驟進一步包括：根據多次獲取的所述指定文件內容，統計所述指定文件內容的出現頻率；

所述比對所述當前文件特征參數與所述被監控進程運行時所述被監控文件的合法文件特性參數，以獲取比對結果的步驟進一步包括：比對所述指定文件內容的出現頻率與所述被監控文件的合法出現頻率，以獲取比對結果。

可選地，所述根據比對結果確定所述被監控進程是否異常的步驟進一步包括：若所述指定文件內容的出現頻率大于所述合法出現頻率，則確定所述被監控進程異常。

可選地，所述根據比對結果確定所述被監控進程是否異常的步驟進一步包括：若所述指定文件內容的出現頻率小于所述合法出現頻率，則確定所述被監控進程異常。

可選地，所述多次獲取指定的被監控文件的當前文件特征信息的步驟進一步包括：

多次獲取所述被監控進程對應的日志文件；以及

依據所述日志文件獲取所述被監控文件的當前文件特征信息。

可選地，所述方法還包括：在確定所述被監控進程異常之后，發出異常報警。

依據本發明的另一個方面，還提供了一種監控進程的裝置，包括：

獲取模塊，適于多次獲取指定的被監控文件的當前文件特征信息，其中，所述被監控文件由被監控進程運行時產生；

處理模塊，適于根據預設的監控策略對多次獲取的所述當前文件特征信息進行處理，得到當前文件特征參數；

比對模塊，適于比對所述當前文件特征參數與所述被監控文件的合法文件特性參數，以獲取比對結果；以及

確定模塊，適于根據比對結果確定所述被監控進程是否異常。

可選地，所述當前文件特征信息為當前文件的最后修改時間，

所述處理模塊，還適于根據多次獲取的所述當前文件的最后修改時間，計算當前文件的修改時間間隔；以及

所述比對模塊，還適于比對所述當前文件的修改時間間隔與所述被監控文件的合法修改時間間隔，以獲取比對結果。