[发明专利]一种基于Linux的进程流量监控方法、系统及设备

说明书

本发明提出的一种基于Linux的进程流量监控方法、系统及设备，通过在应用层遍历各进程打开的socket文件，获得socket文件的inode号，把进程与inode号的映射关系通过netlink发到内核层，在内核层netfilter模块的hook函数中，从sk_buff结构获得网络包所属socket文件的inode号，用此inode号在上述对应关系中找到对应的进程名称，从而可以精确到统计到某个进程上行和下行的流量数据，用于进程流量的监测和控制。

技术领域

本发明涉及计算机技术领域，更具体的说是涉及一种基于Linux的进程流量监控方法、系统及设备。

背景技术

Linux下的进程流量监控功能，即Linux系统上监测各个进程产生的上行和下行流量，并对超过阈值的流量进行阻断的功能，目前实现的方法是：在Linux netfilter内核模块的NF_INET_LOCAL_IN和NF_INET_LOCAL_OUT两个挂载点挂载自己的hook函数，在这两个函数中对进程产生的流量进行统计和控制，但这个方法存在问题：由于netfilter模块工作在中断上下文中，它拿到的进程名是不准确的，导致对进程的流量监控会存在误差。

发明内容

针对以上问题，本发明的目的在于提供一种基于Linux的进程流量监控方法、系统及设备，能够在内核层准确地拿到网络包对应的进程名称，准确统计进程的上下行流量信息。

本发明为实现上述目的，通过以下技术方案实现：一种基于Linux的进程流量监控方法，包括如下步骤：

S1：在系统应用层获取当前运行的进程名称；

S2：根据进程名称获取对应的socket文件的inode号；

S3：把进程与inode号的映射关系通过netlink通信发到系统内核层，并保存；

S4：系统内核层在netfilter模块的挂载点上挂载hook函数，用于对进出本机的网络数据包进行处理；

S5：在hook函数中获取网络数据包所属socket文件的inode号，进而确定产生网络流量的进程；

S6：计算产生网络流量的进程流量信息，并发送至系统应用层进行展示。

进一步，所述步骤S1包括：

遍历系统的proc目录的每个子目录，从所述子目录下的exe链接文件解析到它指向的可执行程序文件，从而可以得到当前运行的进程名称。

进一步，所述步骤S2包括：

在系统的proc目录的每个子目录的fd目录下，获取对应进程的socket文件，并从socket文件的链接信息获取socket文件的inode号。

进一步，所述步骤S4包括：

系统内核层在netfilter模块的NF_INET_LOCAL_IN检测点和NF_INET_LOCAL_OUT检测点上注册hook函数，用于对进出本机的网络数据包进行处理。

进一步，所述步骤S5包括：

S51：在hook函数中，根据记录网络数据包信息的struct sk_buff参数的sk_socket字段获取struct socket数据，

S52：根据struct socket数据的file字段获得struct file数据；

S53：根据struct file数据的f_path.dentry字段获得dentry数据；

S54：根据dentry数据的d_inode字段获得inode数据；