The present invention provides a method of analysis of network data flow process based on statistical network data flow of the process, including the total number of computer network communication process and process information, the network communication process, communication protocols in the communication process flow and the IP address and physical address; process analysis network data, including the physical address, the process of IP communication in the process of physical address, conversation, conversation, IP protocol, TCP session, UDP session and packet, multiple processes the physical address, IP address, physical session, IP session and protocol, cross analysis process and physical address, IP address, physical session, IP session, TCP protocol, session, session UDP and data packet. From the point of view of the whole process of computer network, the network problem is directly located in a process, so that the analysis of the problem is simplified, and the process is analyzed from different angles through cross analysis.
【技术实现步骤摘要】
一种基于进程的网络数据流量分析方法
本专利技术涉及一种基于进程的网络数据流量分析方法,特别是涉及一种适用于网络安全领域的,基于进程的网络数据流量分析方法。
技术介绍
随着网络技术的不断发展,网络安全显得越来越重要。为了发现网络中存在的问题,需要对网络数据进行分析,在现有的网络分析软件中都是针对网络数据包,数据包的地址、会话、协议等来进行分析,但是这样的分析却不能知道这些数据包的来源,是由什么软件产生的,不能直接定位到产生该问题的软件本身;同时,现有的一些关于进程的分析软件,也仅仅只是对进程的通信流量进行了统计,而没有再进一步的对通信数据进行分析,这样简单的分析只能看出某个进程通信数据的多少,然而对我们发现网络问题并进行进一步的分析没有多大的意义。
技术实现思路
计算机所有的通信数据必然都是由相关的软件来产生的,如果能够知道数据产生的具体软件,那么对我们分析网络问题就显得非常直观;同时,我们对进程通信过程中的物理地址、IP地址、物理会话、IP会话、TCP会话、UDP会话、数据包和协议等进行分析,可以知道一个进程下所有网络通信的动作。这样,分析人员可以快速定位到网络问题所在的进程,找到网络问题的原因所在。本专利技术要解决的技术问题是提供一种能够进一步发现网络问题,改善网络安全的,基于进程的网络数据流量分析方法。本专利技术采用的技术方案如下:一种基于进程的网络数据流量分析方法,具体方法为:一、在驱动层,确定会话与计算机进程之间的关联关系,会话由四元组以及协议来确定,计算机进程则由进程标识符(PID)来确定,由进程PID便可以知道进程信息;所述四元组包括源IP地址、源 ...
【技术保护点】
一种基于进程的网络数据流量分析方法,具体方法为:一、在驱动层,确定会话与计算机进程之间的关联关系,会话由四元组以及协议来确定,计算机进程则由进程标识符来确定,由进程PID便可以知道进程信息;所述四元组包括源IP地址、源端口、目的IP地址和目的端口;二、在分析模块,包括,对进程的网络数据流量进行统计,包括:当前计算机网络通信中的进程总数以及进程信息;进程的网络通信流量;进程通信过程中的各种协议的流量;进程通信过程中各IP地址和物理地址的通信流量;进程网络数据的分析,包括:进程通信过程中产生的物理地址、IP地址、物理会话、IP会话、协议、TCP会话、UDP会话和数据包;以及物理地址、IP地址、物理会话、IP会话和协议对应的多个进程;通过进程与物理地址、IP地址、物理会话、IP会话、协议、TCP会话、UDP会话和数据包进行交叉分析;所述进程信息包括进程的名称和路径。
【技术特征摘要】
1.一种基于进程的网络数据流量分析方法,具体方法为:一、在驱动层,确定会话与计算机进程之间的关联关系,会话由四元组以及协议来确定,计算机进程则由进程标识符来确定,由进程PID便可以知道进程信息;所述四元组包括源IP地址、源端口、目的IP地址和目的端口;二、在分析模块,包括,对进程的网络数据流量进行统计,包括:当前计算机网络通信中的进程总数以及进程信息;进程的网络通信流量;进程通信过程中的各种协议的流量;进程通信过程中各IP地址和物理地址的通信流量;进程网络数据的分析,包括:进程通信过程中产生的物理地址、IP地址、物理会话、IP会话、协议、TCP会话、UDP会话和数据包;以及物理地址、IP地址、物理会话、IP会话和协议对应的多个进程;通过进程与物理地址、IP地址、物理会话、IP会话、协议、TCP会话、UDP会话和数据包进行交叉分析;所述进程信息包括进程的名称和路径。2.根据权利要求1所述的网络数据流量分析方法,所述方法还包括,三、在应用层,将进程相关的统计数据在界面中展示出来,以便使用这些数据来对进程相关的问题进行分析。3.根据权利要求1或2所述的网络数据流量分析方法,所述进程与物理地址、IP地址、物理会话、IP会话、协议、TCP会话、UDP会话和数据包进行交叉分析的具体方法为:在捕获的数据包确定其对应的进程之后,根据数据包对应的物理地址、IP地址、物理会话、IP会话、TCP会话和UDP会话针对进程进行统计与分析,并且将统计数据与进程进行关联;对数据包的协议,先分析出数据包的协议信息,按照协议进行统计与分析,并且将协议的统计数据与进程进行关联。4.根据权利要求1或2所述的网络数据流量分析方法,所述方法还包括,对进行网络分析功...
【专利技术属性】
技术研发人员:林康,罗鹰,何罡,
申请(专利权)人:成都科来软件有限公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。