[发明专利]一种网络事件与进程的关联方法及装置

权利要求书

1.一种网络事件与进程的关联方法，其特征在于，包括：

获取audit日志，产生所述audit日志的系统调用类别包括套接字socket系统调用日志；

通过解析所述套接字socket系统调用日志生成第二哈希表；所述第二哈希表包括以链表形式保存的协议类型和协议号socketfd；其中，所述socketfd为解析所述audit日志得到的；

确定网络事件的标识信息；

根据第一哈希表确定所述标识信息对应的进程标识，所述第一哈希表至少包括所述标识信息以及与所述标识信息对应的进程标识；

根据所述标识信息确定所述网络事件与所述进程标识关联的进程之间的关联关系；

根据预设audit规则生成配置文件，所述配置文件用于监控不同的网络系统调用过程从而生成所述audit日志；根据所述audit日志产生地址系统调用日志；通过解析所述地址系统调用日志生成所述第一哈希表。

2.根据权利要求1所述方法，其特征在于，所述方法还包括：

根据第二哈希表确定所述进程标识关联的进程路径以及协议类型，所述第二哈希表至少包括所述进程标识以及与所述进程标识关联的进程路径和协议类型；

所述根据所述标识信息确定所述网络事件以及与所述进程标识关联的进程之间的关联关系具体包括：

根据所述标识信息确定网络事件与所述进程标识关联的进程路径和协议类型之间的关联关系。

3.根据权利要求1所述方法，其特征在于，所述获取audit日志之后，所述方法还包括：根据系统调用标识确定产生所述audit日志的系统调用类别。

4.一种网络事件与进程的关联装置，其特征在于，包括：确定单元，用于，

获取audit日志，产生所述audit日志的系统调用类别包括套接字socket系统调用日志；

通过解析所述套接字socket系统调用日志生成第二哈希表；所述第二哈希表包括以链表形式保存的协议类型和协议号socketfd；其中，所述socketfd为解析所述audit日志得到的；

确定网络事件的标识信息；

根据第一哈希表确定所述标识信息对应的进程标识，所述第一哈希表至少包括所述标识信息以及与所述标识信息对应的进程标识；

根据所述标识信息确定所述网络事件以及与所述进程标识关联的进程之间的关联关系；根据所述audit日志产生地址系统调用日志；

生成单元，用于，

根据预设audit规则生成配置文件，所述配置文件用于监控不同的网络系统调用过程从而生成所述audit日志；通过解析所述地址系统调用日志生成所述第一哈希表。

5.根据权利要求4所述装置，其特征在于，所述确定单元还用于，

根据第二哈希表确定所述进程标识关联的进程路径以及协议类型，所述第二哈希表至少包括所述进程标识以及与所述进程标识关联的进程路径和协议类型；

根据所述标识信息确定网络事件与所述进程标识关联的进程路径和协议类型之间的关联关系。

6.根据权利要求4所述装置，其特征在于，所述确定单元还用于，

根据系统调用标识确定产生所述audit日志的系统调用类别。

7.一种网络事件与进程的关联装置，其特征在于，所述装置包括：处理器和通信接口，所述通信接口和所述处理器耦合，所述处理器用于运行计算机程序或指令，以实现如权利要求1-3任意之一所述的方法。

8.一种计算机可读存储介质，计算机可读存储介质中存储有指令，当计算机执行该指令时，该计算机执行上述权利要求1-3中任意之一所述的方法。

9.一种包含指令的计算机程序产品，当所述计算机程序产品在计算机上运行时，该计算机执行上述权利要求1-3中任意之一所述的方法。