[发明专利]基于Linux操作系统的程序网络流量监控方法及系统

说明书

本发明涉及国产Linux操作系统进程网络监控技术，是一种结合进程信息和网络知识的相关功能。提出基于Linux内核proc文件系统、Qt中的QWT插件和pcap捕包等机制的进程网络监控方法，该方法包括以下三个线程：线程一Portmap；线程二Sniffer；线程三Maintain。本发明所设计的进程网络流量监控技术具备以下特点：提供上层和下层两个层面的网络流量监控，上层针对整个网卡流量以及进程端口映射，下层通过在链路层捕包，分析进程的网络流量；针对进程的控制分为三级，分别为网络连接不受限制、禁止网络活动和杀死进程等；对进程进行了用户权限的划分，方便显示和管控。

技术领域

本发明涉及国产Linux操作系统进程网络监控技术，是一种结合进程信息和网络知识的相关功能。

背景技术

国产Linux操作系统相比Windows操作系统感染病毒的几率要小的多，但是仍然存在定向病毒感染的风险，而蠕虫病毒或者其他类型的病毒在感染主机后可以自动连接网络，访问预设好的网站，达到下载更新病毒的目的，病毒的这个特性增强了自身的顽固性和攻击性能。而病毒在操作系统中是以进程的方式运行的，我们可以通过监测并控制进程的网络活动来达到提高安全能力的目的。

目前的Linux任务管理器或者其他的相关软件均统计网卡流量，存在以下缺点：没有对进程的网络活动进行监控；没有对网卡的端口粒度进行流量监控；没有对底层数据包的负载进行解析等。

发明内容

针对上述情况提出基于Linux内核proc文件系统、Qt中的QWT插件和pcap捕包等机制的进程网络监控方法，该方法包括以下三个线程：

1、线程一Portmap:

(1)遍历/proc/net/tcp,/proc/net/tcp6,/proc/net/udp三个文件中的每条连接记录，记下端口号，连接状态，inode号等信息；

(2)对于(1)中的每条记录，均执行matching()函数，这个函数遍历/proc/pids/fd中的所有符号连接文件，通过readlink()函数，得到连接信息，解析连接信息，匹配1中记下的inode号与连接信息中套接字句柄socket[]，如果匹配则端口匹配到了进程pid，将这一条记录加入portmap_table表；

(3)线程睡眠1s，继续执行1。

2、线程二Sniffer:

(1)lookupdev()寻找可嗅探的设备并打开它；

(2)编译并应用自己写的抓包规则，默认抓取所有包络；程序中设置的规

则为ip and tcp；

(3)openlive()开启会话，并返回一个句柄；0为设置网卡为非混杂模式，这里我们并不想嗅探其他机器的数据包，故设置为非混杂模式；

(4)pcap_loop(会话句柄，-1，编译规则,回调函数)，复制链路层传输的符

合规则的包络，-1表示一直抓包到出错为止；

(5)回调函数解析包络，return to(4)。

3、线程三Maintain：

Linux为我们提供了时间戳结构体和时间获取函数，可精确到微妙级，结构体为struct timeval，函数为gettimeofday(struct timeval Time,NULL)；包ip层以上数据长度len＝包长len-以太网头len-ip头len；

(1)Maintain启动函数中，得到一个original时间戳，并传给got_packet

解析包回调函数，第一个包到来时的start时间；