[发明专利]一种基于Linux的进程流量监控方法、系统及设备

权利要求书

1.一种基于Linux的进程流量监控方法，其特征在于，包括如下步骤：

S1：在系统应用层获取当前运行的进程名称；

S2：根据进程名称获取对应的socket文件的inode号；

S3：把进程与inode号的映射关系通过netlink通信发到系统内核层，并保存；

S4：系统内核层在netfilter模块的挂载点上挂载hook函数，用于对进出本机的网络数据包进行处理；

S5：在hook函数中获取网络数据包所属socket文件的inode号，进而确定产生网络流量的进程；

S6：计算产生网络流量的进程流量信息，并发送至系统应用层进行展示。

2.根据权利要求1所述的基于Linux的进程流量监控方法，其特征在于，所述步骤S1包括：

遍历系统的proc目录的每个子目录，从所述子目录下的exe链接文件解析到它指向的可执行程序文件，从而可以得到当前运行的进程名称。

3.根据权利要求2所述的基于Linux的进程流量监控方法，其特征在于，所述步骤S2包括：

在系统的proc目录的每个子目录的fd目录下，获取对应进程的socket文件，并从socket文件的链接信息获取socket文件的inode号。

4.根据权利要求1所述的基于Linux的进程流量监控方法，其特征在于，所述步骤S4包括：

系统内核层在netfilter模块的NF_INET_LOCAL_IN检测点和NF_INET_LOCAL_OUT检测点上注册hook函数，用于对进出本机的网络数据包进行处理。

5.根据权利要求1所述的基于Linux的进程流量监控方法，其特征在于，所述步骤S5包括：

S51：在hook函数中，根据记录网络数据包信息的struct sk_buff参数的sk_socket字段获取struct socket数据，

S52：根据struct socket数据的file字段获得struct file数据；

S53：根据struct file数据的f_path.dentry字段获得dentry数据；

S54：根据dentry数据的d_inode字段获得inode数据；

S55：根据inode数据的i_ino字段获取socket文件的inode号；

S56：根据inode号在进程与inode号的映射关系中确定网络数据包所属的进程名称。

6.根据权利要求5所述的基于Linux的进程流量监控方法，其特征在于，所述步骤S6包括：

S61：获取传输层头部长度，并计算出传输的数据流量；

S62：将传输的数据流量累加在对应的网络数据包所属的进程上，根据策略配置的进程流量上限对网络数据包做出是否丢弃的判断；

S63：把网络数据包所属的进程累计的上下行流量信息发送至系统应用层进行展示。

7.一种基于Linux的进程流量监控系统，其特征在于，包括：

获取模块，用于在系统应用层获取当前运行的进程名称，并根据进程名称获取对应的socket文件的inode号；

传输模块，用于把进程与inode号的映射关系通过netlink通信发到系统内核层，并保存；

挂载模块，用于系统内核层在netfilter模块的挂载点上挂载hook函数，用于对进出本机的网络数据包进行处理；

进程确定模块，用于在hook函数中获取网络数据包所属socket文件的inode号，进而确定产生网络流量的进程；

计算展示模块，用于计算产生网络流量的进程流量信息，并发送至系统应用层进行展示。

8.一种基于Linux的进程流量监控设备，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如权利要求1至6任一项所述基于Linux的进程流量监控方法步骤。