一种基于系统的进程和文件监控方法及系统与流程

本发明涉及系统监控领域，尤其涉及一种基于系统的进程和文件监控方法及系统。

背景技术：

linux系统自诞生之日起，就一步一步的承担起各大公司主营业务的服务器稳定运行的大任。linux系统的广泛应用使得linux的系统的安全越来越重要。

linux系统作为一个支持多用户、多线程和多cpu的操作系统，可以实现多用户登录使用，多线程同步工作和多cpu的不同运行处理数据。这样提高的数据运算效率，而且还满足多用户同步使用。

但是，基于多用户、多线程和多cpu工作的操作系统，存在系统文件的安全和稳定性问题，比如某一用户基于linux系统访问并对文件进行了操作，比如对文件进行了修改。其他用户在访问该文件时，该文件已经被修改，并非是系统原有的文件形式，这样对后续用户使用该文件造成了影响，后续用户无法获取到该文件的修改方式，修改人等信息。同样如果某一用户对系统的进程进行修改操作后，其他用户在访问该进程时，该进程已经被修改，并非是系统原有的进程形式，这样对后续用户使用该进程造成了影响，后续用户无法获取到该进程的修改方式，修改人等信息。

技术实现要素：

为了克服上述现有技术中的不足，本发明提供一种基于系统的进程和文件监控方法，监控方法包括：

获取监控要素；

调取系统运行程序，将监控要素与系统运行程序进行比对，判断系统运行的程序是否存在与监控要素相同的要素；

将比对判断结果形成监控要素信息表进行输出。

优选地，方法还包括：监控要素包括：监控进程以及监控进程关键词；

获取待监控的运行程序，提取待监控运行程序的所有进程及每个进程所对应的进程关键词；

提取待监控运行程序中得第一进程，将监控进程关键词与第一进程中的进程关键词进行比对，判断第一进程中是否存在与监控进程关键词相同的进程关键词；

提取待监控运行程序中得第二进程，将监控进程关键词与第二进程中的进程关键词进行比对，判断第二进程中是否存在与监控进程关键词相同的进程关键词；

提取待监控运行程序中得第n进程，将监控进程关键词与第n进程中的进程关键词进行比对，判断第n进程中是否存在与监控进程关键词相同的进程关键词。

优选地，方法还包括：

当第一进程中存在与监控进程关键词相同的进程关键词时，将第一进程填入监控要素信息表，并标识第一进程运行属性；

当第二进程中存在与监控进程关键词相同的进程关键词时，将第二进程填入监控要素信息表，并标识第二进程运行属性；

当第n进程中存在与监控进程关键词相同的进程关键词时，将第n进程填入监控要素信息表，并标识第n进程运行属性。

优选地，方法还包括：监控要素包括：监控文件以及监控文件关键词；

获取待监控的运行文件，提取待监控运行程序的所有文件及每个文件所对应的文件关键词；

提取待监控运行程序中得第一文件，将监控文件关键词与第一文件中的文件关键词进行比对，判断第一文件中是否存在与监控文件关键词相同的文件关键词；

提取待监控运行程序中得第二文件，将监控文件关键词与第二文件中的文件关键词进行比对，判断第二文件中是否存在与监控文件关键词相同的文件关键词；

提取待监控运行程序中得第n文件，将监控文件关键词与第n文件中的文件关键词进行比对，判断第n文件中是否存在与监控文件关键词相同的文件关键词。

优选地，方法还包括：

设置系统运行状态区；

在系统运行状态区设置运行程序的输入输出端口，程序执行端口以及监控端口；系统程序由输入端口进入系统运行状态区，处理器基于程序执行端口对进入系统运行状态区的系统程序进行运行处理，运行完成后由输出端口输出系统运行状态区外部；通过监控端口对系统程序进行监控。

优选地，方法还包括：

对进入系统运行状态区的运行程序进行编码；

依据运行程序的编码调取运行程序；

获取所述运行程序中的所有进程，并提取每个进程的进程关键词；

将每个进程的进程关键词与监控进程关键词进行比对，判断每个进程中的进程关键词是否存在与监控进程关键词相同的进程关键词；

输出比对判断结果。

优选地，步骤依据运行程序的编码调取运行程序之后还包括：

获取所述运行程序中的所有文件，并提取每个文件的文件关键词；

将每个文件的文件关键词与监控文件关键词进行比对，判断每个文件中的文件关键词是否存在与监控文件关键词相同的文件关键词；

输出比对判断结果。

一种基于系统的进程和文件监控系统，包括：获取模块，比对判定模块以及输出模块；

所述获取模块用于获取监控要素；

所述比对判定模块用于调取系统运行程序，将监控要素与系统运行程序进行比对，判断系统运行的程序是否存在与监控要素相同的要素；

所述输出模块用于将比对判断结果形成监控要素信息表进行输出。

优选地，所述获取模块还用于获取监控进程以及监控进程关键词，或获取监控文件以及监控文件关键词；

所述比对判定模块还用于获取待监控的运行程序，提取待监控运行程序的所有进程及每个进程所对应的进程关键词；提取待监控运行程序中得第n进程，将监控进程关键词与第n进程中的进程关键词进行比对，判断第n进程中是否存在与监控进程关键词相同的进程关键词；

或，

获取待监控的运行文件，提取待监控运行程序的所有文件及每个文件所对应的文件关键词；提取待监控运行程序中得第n文件，将监控文件关键词与第n文件中的文件关键词进行比对，判断第n文件中是否存在与监控文件关键词相同的文件关键词。

优选地，还包括：监控区设置模块以及监控区编码模块；

所述监控区设置模块用于设置系统运行状态区；在系统运行状态区设置运行程序的输入输出端口，程序执行端口以及监控端口；系统程序由输入端口进入系统运行状态区，处理器基于程序执行端口对进入系统运行状态区的系统程序进行运行处理，运行完成后由输出端口输出系统运行状态区外部；通过监控端口对系统程序进行监控；

所述监控区编码模块用于对进入系统运行状态区的运行程序进行编码；依据运行程序的编码调取运行程序；

所述获取模块还用于在系统运行状态区内，获取所述运行程序中的所有进程，并提取每个进程的进程关键词；或在系统运行状态区内，获取所述运行程序中的所有文件，并提取每个文件的文件关键词；

所述比对判定模块还用于在系统运行状态区内，将每个进程的进程关键词与监控进程关键词进行比对，判断每个进程中的进程关键词是否存在与监控进程关键词相同的进程关键词；或在系统运行状态区内，将每个文件的文件关键词与监控文件关键词进行比对，判断每个文件中的文件关键词是否存在与监控文件关键词相同的文件关键词；

所述输出模块还用于将系统运行状态区内的比对判断结果形成监控要素信息表进行输出。

从以上技术方案可以看出，本发明具有以下优点：

本发明实现对系统的监控要素进行检测，系统调取运行程序，有了之前设置的监控要素，就可以将监控要素与当前运行的程序进行比对，判断系统运行的程序是否存在与监控要素相同的要素；如果有就可以将程序内的监控要素，写入到监控要素信息表中，在监控要素信息表标识出被监控要素在运行过程中，做了哪些操作，比如对被监控要素的修改，读取，运行等等，还能够了解被监控要素由哪些用户进行了使用，哪些用户进行了调取，修改等等操作。用户通过读取监控要素信息表就可以获取到被监控要素的操作全过程，也可以获悉到如何进行操作的，操作的目的是什么。避免了如果某一用户对系统的进程进行修改操作后，其他用户在访问该进程时，该进程已经被修改，并非是系统原有的进程形式，这样对后续用户使用该进程造成了影响，后续用户无法获取到该进程的修改方式，修改人等信息的问题。

系统能够详细的记录指定文件或者进程的所有操作，弥补系统日志记录不全的缺点。这对于在某种情况下查看特定文件的操作，以及查看某进程是否是恶意进程有很大的帮助。

附图说明

为了更清楚地说明本发明的技术方案，下面将对描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为基于系统的进程和文件监控方法整体流程图；

图2为基于系统的进程和文件监控方法实施例流程图；

图3为基于系统的进程和文件监控方法实施例流程图；

图4为基于系统的进程和文件监控系统示意图；

图5为基于系统的进程和文件监控系统实施例示意图。

具体实施方式

为使得本发明的发明目的、特征、优点能够更加的明显和易懂，下面将运用具体的实施例及附图，对本发明保护的技术方案进行清楚、完整地描述，显然，下面所描述的实施例仅仅是本发明一部分实施例，而非全部的实施例。基于本专利中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本专利保护的范围。

本发明提供一种基于系统的进程和文件监控方法，如图1所示，方法包括：

s1，获取监控要素；

s2，调取系统运行程序，将监控要素与系统运行程序进行比对，判断系统运行的程序是否存在与监控要素相同的要素；

s3，将比对判断结果形成监控要素信息表进行输出。

可以理解的是，获取监控要素是用户打算要监控的内容，比如运行程序中某段进程，程序文件，数据信息，数据包，某些软件的功能以及脚本信息等等。

为了实现对系统的监控要素进行检测，系统调取运行程序，有了之前设置的监控要素，就可以将监控要素与当前运行的程序进行比对，判断系统运行的程序是否存在与监控要素相同的要素；如果有就可以将程序内的监控要素，写入到监控要素信息表中，在监控要素信息表标识出被监控要素在运行过程中，做了哪些操作，比如对被监控要素的修改，读取，运行等等，还能够了解被监控要素由哪些用户进行了使用，哪些用户进行了调取，修改等等操作。用户通过读取监控要素信息表就可以获取到被监控要素的操作全过程，也可以获悉到如何进行操作的，操作的目的是什么。避免了如果某一用户对系统的进程进行修改操作后，其他用户在访问该进程时，该进程已经被修改，并非是系统原有的进程形式，这样对后续用户使用该进程造成了影响，后续用户无法获取到该进程的修改方式，修改人等信息的问题。

监控过程可以是系统运行过程中实时进行监控，也可以是根据预设的时间段进行监控。

针对基于系统的进程和文件监控方法的具体实施方式下面以具体的实施例进行说明。

实施例一如图2所示，基于系统的进程和文件监控方法还包括：

监控要素包括：监控进程以及监控进程关键词；

s11，获取待监控的运行程序，提取待监控运行程序的所有进程及每个进程所对应的进程关键词；

s12，提取待监控运行程序中得第一进程，将监控进程关键词与第一进程中的进程关键词进行比对，判断第一进程中是否存在与监控进程关键词相同的进程关键词；

s13，提取待监控运行程序中得第二进程，将监控进程关键词与第二进程中的进程关键词进行比对，判断第二进程中是否存在与监控进程关键词相同的进程关键词；

s14，提取待监控运行程序中得第n进程，将监控进程关键词与第n进程中的进程关键词进行比对，判断第n进程中是否存在与监控进程关键词相同的进程关键词。

可以理解的是，待监控运行程序中，具有多条进程，每条进程内涉及进程关键词。为了能够逐条分析，本实施例逐一提取进程，并对每条进程进基于进程关键词的比对判断。当然上述是按照一定的次序进行调取比对判断，采用调取比对判断的次序可以根据用户的需要设置，也可以根据进程的运行时间的先后次序进行调取比对判断，也可以根据堆栈方式进行调取比对判断，具体调取比对判断次序不做限定。

这里的关键词是根据进程所要实现的功能来设置的，比如一个进程是为了实现系统的一个具体操作目的，那么基于该操作的实现具有相应的进程关键词，也就是进程中核心代码，如果对进程中核心代码进行了操作，则可能影响进程的执行。这样主要可以针对进程关键词来进行比对判断分析。

如果出现下列情况时，当第一进程中存在与监控进程关键词相同的进程关键词时，将第一进程填入监控要素信息表，并标识第一进程运行属性；运行属性包括：进程运行时间，操作进程的用户地址，用户名以及操作方式；这样可以使每个用户都能获悉到针对第一进程中的进程关键词的操作过程。使得第一进程具有一定可追溯性。

当第二进程中存在与监控进程关键词相同的进程关键词时，将第二进程填入监控要素信息表，并标识第二进程运行属性；

当第n进程中存在与监控进程关键词相同的进程关键词时，将第n进程填入监控要素信息表，并标识第n进程运行属性。

同样道理，系统运行中涉及多条进程，可以起到对每条进程均进行比对判断分析跟踪。

如果某个进程未涉及监控进程关键词，则可以忽略该进程。

针对基于系统的进程和文件监控方法中，还包括下面的实施例，如图3所示，

s21，获取待监控的运行文件，提取待监控运行程序的所有文件及每个文件所对应的文件关键词；

s22，提取待监控运行程序中得第一文件，将监控文件关键词与第一文件中的文件关键词进行比对，判断第一文件中是否存在与监控文件关键词相同的文件关键词；

s23，提取待监控运行程序中得第二文件，将监控文件关键词与第二文件中的文件关键词进行比对，判断第二文件中是否存在与监控文件关键词相同的文件关键词；

s24，提取待监控运行程序中得第n文件，将监控文件关键词与第n文件中的文件关键词进行比对，判断第n文件中是否存在与监控文件关键词相同的文件关键词。

当第一文件信息中存在待监控文件关键词素时，将第一文件信息填入监控要素信息表，并标识第一文件信息运行属性；运行属性包括：文件运行时间，操作文件的用户地址，用户名以及操作方式；

当第二文件信息中存在待监控文件关键词素时，将第二文件信息填入监控要素信息表，并标识第二文件信息运行属性；

当第n文件信息中存在待监控文件关键词素时，将第n文件信息填入监控要素信息表，并标识第n文件信息运行属性。

这里是对待监控运行程序中所有文件数据进行的监控。这里的关键词是根据文件所要实现的功能来设置的，比如一个文件是为了实现系统的一个具体操作目的，那么基于该操作的实现具有相应的文件关键词，也就是文件中核心代码，如果对文件中核心代码进行了操作，则可能影响文件的执行。这样主要可以针对文件关键词来进行比对判断分析。

如果出现下列情况时，当文件中存在与监控文件关键词相同的文件关键词时，将文件填入监控要素信息表，并标识文件运行属性；运行属性包括：文件运行时间，操作文件的用户地址，用户名以及操作方式；这样可以使每个用户都能获悉到针对文件中的文件关键词的操作过程。使得文件具有一定可追溯性。

本发明中还可以实现对脚本进行监控，具体实施方式可以依据上述针对进程和文件的监控方式。

在本发明中还有一种实施例是：设置系统运行状态区；在系统运行状态区设置运行程序的输入输出端口，程序执行端口以及监控端口；系统程序由输入端口进入系统运行状态区，处理器基于程序执行端口对进入系统运行状态区的系统程序进行运行处理，运行完成后由输出端口输出系统运行状态区外部；通过监控端口对系统程序进行监控。

这种方式可以基于在系统中设置一个监控运行状态区；只有进入该监控运行状态区的程序才进行监控，如果未进入的不进行监控。这样可以减少系统对数据处理量，而且可以起到有针对性的监控。

具体的方法还包括：

对进入系统运行状态区的运行程序进行编码；

依据运行程序的编码调取运行程序；

这里是为了实现对进入监控运行状态区的运行程序进行编码，这个编码是一个动态的过程，只要有运行程序进入就进行编码，程序执行完成后该编码消除。

可以依据实际使用需要基于某一个程序进行监控，调取该程序的方式是调取程序编码，即通过编码调取被监控程序。这样可以避免对全部程序都进行监控。

具体的实施方式是：

获取所述运行程序中的所有进程，并提取每个进程的进程关键词；将每个进程的进程关键词与监控进程关键词进行比对，判断每个进程中的进程关键词是否存在与监控进程关键词相同的进程关键词；输出比对判断结果。

还有一种方式是：获取所述运行程序中的所有文件，并提取每个文件的文件关键词；将每个文件的文件关键词与监控文件关键词进行比对，判断每个文件中的文件关键词是否存在与监控文件关键词相同的文件关键词；输出比对判断结果。

本发明还提供一种基于系统的进程和文件监控系统，如图4所示，包括：获取模块1，比对判定模块2以及输出模块3；

获取模块1用于获取监控要素；比对判定模块2用于调取系统运行程序，将监控要素与系统运行程序进行比对，判断系统运行的程序是否存在与监控要素相同的要素；输出模块3用于将比对判断结果形成监控要素信息表进行输出。

具体的，获取模块1还用于获取监控进程以及监控进程关键词，或获取监控文件以及监控文件关键词；

比对判定模块2还用于获取待监控的运行程序，提取待监控运行程序的所有进程及每个进程所对应的进程关键词；提取待监控运行程序中得第n进程，将监控进程关键词与第n进程中的进程关键词进行比对，判断第n进程中是否存在与监控进程关键词相同的进程关键词；或，获取待监控的运行文件，提取待监控运行程序的所有文件及每个文件所对应的文件关键词；提取待监控运行程序中得第n文件，将监控文件关键词与第n文件中的文件关键词进行比对，判断第n文件中是否存在与监控文件关键词相同的文件关键词。

本实施例中，如图5所示，系统还包括：监控区设置模块4以及监控区编码模块5；

监控区设置模块4用于设置系统运行状态区；在系统运行状态区设置运行程序的输入输出端口，程序执行端口以及监控端口；系统程序由输入端口进入系统运行状态区，处理器基于程序执行端口对进入系统运行状态区的系统程序进行运行处理，运行完成后由输出端口输出系统运行状态区外部；通过监控端口对系统程序进行监控；监控区编码模块5用于对进入系统运行状态区的运行程序进行编码；依据运行程序的编码调取运行程序；

获取模块1还用于在系统运行状态区内，获取所述运行程序中的所有进程，并提取每个进程的进程关键词；或在系统运行状态区内，获取所述运行程序中的所有文件，并提取每个文件的文件关键词；比对判定模块2还用于在系统运行状态区内，将每个进程的进程关键词与监控进程关键词进行比对，判断每个进程中的进程关键词是否存在与监控进程关键词相同的进程关键词；或在系统运行状态区内，将每个文件的文件关键词与监控文件关键词进行比对，判断每个文件中的文件关键词是否存在与监控文件关键词相同的文件关键词；输出模块还用于将系统运行状态区内的比对判断结果形成监控要素信息表进行输出。

系统的输出是指定文件备操作的记录，和指定进程所有行为的记录，或者是一些文件被操作的记录以及一些进程的行为记录。

本发明提供一个具体的实施方式：test.txt文件在某一时间由某用户建立，然后进行了读取写入操作，但是一段时间后，在某一时间被另一用户读取修改。监控要素信息表记录：test进程在某一时间开始运行，然后对某一文件进行了访问操作，然后修改了某一文件的内容，并发送了一个网络信息后退出。

还比如监控了文件file.txt,然后就需要在这些系统调用中获取到的内容中对比是否存在文件file.txt的信息，如果存在，就记录此时这个操作的时间，用户，进程等等内容。可以监控指定进程的操作行为，只要系统调用中出现该进程的内容，就记录用户，时间，以及该进程的动作，根据时间前后，即可将该进程的所有行为前后串联起来，得到进程的操作过程。

系统能够详细的记录指定文件或者进程的所有操作，弥补系统日志记录不全的缺点。这对于在某种情况下查看特定文件的操作，以及查看某进程是否是恶意进程有很大的帮助。

使用设置系统运行状态区，实现对文件和进程的监控，来达到确认文件是否被破坏，何时何地被何人破坏，鉴别进程是否是恶意进程，监测恶意进程都做了哪些相关操作，针对日志可对文件进程一定的修复，也可对监控的进程所作的操作进行一定内容的回退。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参考即可。

本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。