[发明专利]一种基于进程的网络数据流量分析方法

权利要求书

1.一种基于进程的网络数据流量分析方法，具体方法为：

一、在驱动层，确定会话与计算机进程之间的关联关系，会话由四元组以及协议来确定，计算机进程则由进程标识符来确定，由进程PID便可以知道进程信息；所述四元组包括源IP地址、源端口、目的IP地址和目的端口；

二、在分析模块，包括，

对进程的网络数据流量进行统计，包括：当前计算机网络通信中的进程总数以及进程信息；进程的网络通信流量；进程通信过程中的各种协议的流量；进程通信过程中各IP地址和物理地址的通信流量；

进程网络数据的分析，包括：进程通信过程中产生的物理地址、IP地址、物理会话、IP会话、协议、TCP会话、UDP会话和数据包；以及物理地址、IP地址、物理会话、IP会话和协议对应的多个进程；通过进程与物理地址、IP地址、物理会话、IP会话、协议、TCP会话、UDP会话和数据包进行交叉分析；

所述进程信息包括进程的名称和路径；

所述进程与物理地址、IP地址、物理会话、IP会话、协议、TCP会话、UDP会话和数据包进行交叉分析的具体方法为：在捕获的数据包确定其对应的进程之后，根据数据包对应的物理地址、IP地址、物理会话、IP会话、TCP会话和UDP会话针对进程进行统计与分析，并且将统计数据与进程进行关联；对数据包的协议，先分析出数据包的协议信息，按照协议进行统计与分析，并且将协议的统计数据与进程进行关联。

2.根据权利要求1所述的网络数据流量分析方法，所述方法还包括，三、在应用层，将进程相关的统计数据在界面中展示出来，以便使用这些数据来对进程相关的问题进行分析。

3.根据权利要求1或2所述的网络数据流量分析方法，所述方法还包括，对进行网络分析功能进行可配置设置，设置启用/禁用进程网络分析功能。

4.根据权利要求1所述的网络数据流量分析方法，进程的统计包括了所有网络通信数据的进程统计数据，包括总的字节数、数据包数、接收字节数、接收数据包数、发送字节数、发送数据包数、每秒字节、每秒位、每秒数据包、发送/接收比率和进程文件路径统计数据。

5.根据权利要求1所述的网络数据流量分析方法，进程的协议统计包括了该进程通信过程中使用到的所有通信协议，以及各协议的统计数据，包括协议的字节数、数据包数、接收字节、接收数据包、发送字节、发送数据包、字节发收比和包发收比。

6.根据权利要求1所述的网络数据流量分析方法，进程的IP地址统计包括了该进程通信过程中所有相关的IP地址，以及这些IP地址的字节数、数据包数、接收字节、接收数据包、发送字节、发送数据包、字节发收比和包发收比统计信息。

7.根据权利要求1所述的网络数据流量分析方法，进程的TCP会话统计包括了该进程通信过程中所有的TCP会话数据，以及TCP会话的数据包数、字节数、协议、持续时间、发送字节数、接收字节数、发送数据包数、接收数据包数、开始发包时间和最后发包时间统计数据。

8.根据权利要求1所述的网络数据流量分析方法，进程的UDP会话统计包括了该进程通信过程中所有的UDP会话数据，以及UDP会话的数据包数、字节数、协议、持续时间、发送字节数、接收字节数、发送数据包数、接收数据包数、开始发包时间和最后发包时间统计数据。

9.根据权利要求2所述的网络数据流量分析方法，所述方法还包括，采用树形结构展示当前网络通信过程中进程的相关信息，包括进行名称和PID标示符；其中，进程名称以进程文件路径为标识，对于相同的进程文件，以“PID+序号”进行标识。