[发明专利]一种基于进程的网络数据流量分析方法

说明书

本发明提供了一种基于进程的网络数据流量分析方法，对进程的网络数据流量的统计，包括当前计算机网络通信中的进程总数以及进程信息，进程的网络通信流量，通信过程中的各种协议的流量及各IP地址和物理地址的通信流量；进程网络数据的分析，包括进程通信过程中产生的物理地址、IP地址、物理会话、IP会话、协议、TCP会话、UDP会话和数据包，物理地址、IP地址、物理会话、IP会话和协议对应的多个进程，进程与物理地址、IP地址、物理会话、IP会话、协议、TCP会话、UDP会话和数据包的交叉分析。从进程的角度来看整个计算机的网络情况，对于网络问题直接定位到某一个进程，使得问题的分析得到简化，通过交叉分析从不同的角度对进程进行分析。

技术领域

本发明涉及一种基于进程的网络数据流量分析方法，特别是涉及一种适用 于网络安全领域的，基于进程的网络数据流量分析方法。

背景技术

随着网络技术的不断发展，网络安全显得越来越重要。为了发现网络中存 在的问题，需要对网络数据进行分析，在现有的网络分析软件中都是针对网络 数据包，数据包的地址、会话、协议等来进行分析，但是这样的分析却不能知 道这些数据包的来源，是由什么软件产生的，不能直接定位到产生该问题的软 件本身；同时，现有的一些关于进程的分析软件，也仅仅只是对进程的通信流 量进行了统计，而没有再进一步的对通信数据进行分析，这样简单的分析只能 看出某个进程通信数据的多少，然而对我们发现网络问题并进行进一步的分析 没有多大的意义。

发明内容

计算机所有的通信数据必然都是由相关的软件来产生的，如果能够知道数 据产生的具体软件，那么对我们分析网络问题就显得非常直观；同时，我们对 进程通信过程中的物理地址、IP地址、物理会话、IP会话、TCP会话、UDP 会话、数据包和协议等进行分析，可以知道一个进程下所有网络通信的动作。 这样，分析人员可以快速定位到网络问题所在的进程，找到网络问题的原因所 在。

本发明要解决的技术问题是提供一种能够进一步发现网络问题，改善网络 安全的，基于进程的网络数据流量分析方法。

本发明采用的技术方案如下：一种基于进程的网络数据流量分析方法，具 体方法为：

一、在驱动层，确定会话与计算机进程之间的关联关系，会话由四元组以 及协议来确定，计算机进程则由进程标识符(PID)来确定，由进程PID便可 以知道进程信息；所述四元组包括源IP地址、源端口、目的IP地址和目的端 口；

二、在分析模块，包括，

对进程的网络数据流量进行统计，包括：当前计算机网络通信中的进程总 数以及进程信息；进程的网络通信流量；进程通信过程中的各种协议的流量； 进程通信过程中各IP地址和物理地址的通信流量；

进程网络数据的分析，包括：进程通信过程中产生的物理地址、IP地址、 物理会话、IP会话、协议、TCP会话、UDP会话和数据包；以及物理地址、IP 地址、物理会话、IP会话和协议对应的多个进程(可能多个不同的进程使用相 同的协议来访问相同的物理地址、IP地址)；通过进程与物理地址、IP地址、 物理会话、IP会话、协议、TCP会话、UDP会话和数据包进行交叉分析；

所述进程信息包括进程的名称和路径。

通过进程与物理地址、IP地址、物理会话、IP会话、协议、TCP会话、 UDP会话和数据包进行交叉分析，可以从不同的角度来对进程进行分析，从而 对查找网络问题提供帮助。

所述方法还包括，三、在应用层，将进程相关的统计数据在界面中展示出 来，以便使用这些数据来对进程相关的问题进行分析。