本發(fā)明公開了一種獲取網(wǎng)絡(luò)行為數(shù)據(jù)的方法、裝置及終端設(shè)備。其中，方法包括：在獲取到網(wǎng)絡(luò)連接請求的情況下，通過調(diào)用設(shè)定的鉤子函數(shù)，獲取所述網(wǎng)絡(luò)連接請求對應(yīng)的五元組信息；所述設(shè)定的鉤子函數(shù)為用于處理網(wǎng)絡(luò)連接請求的內(nèi)核函數(shù)的鉤子函數(shù)；根據(jù)所述五元組信息確定出所述網(wǎng)絡(luò)連接請求相關(guān)的進程的進程標識符；獲取所述進程標識符對應(yīng)的進程信息。

技術(shù)領(lǐng)域

本發(fā)明涉及通信領(lǐng)域，尤其涉及一種獲取網(wǎng)絡(luò)行為數(shù)據(jù)的方法、裝置及終端設(shè)備。

背景技術(shù)

相關(guān)技術(shù)中，終端設(shè)備在捕獲到經(jīng)過網(wǎng)絡(luò)協(xié)議棧的數(shù)據(jù)包的情況下，通常基于連接跟蹤機制，從連接跟蹤表記錄的連接記錄項中確定出捕獲到的數(shù)據(jù)包對應(yīng)的網(wǎng)絡(luò)連接的連接記錄項，基于確定出的連接記錄項中的五元組信息，從文件系統(tǒng)中獲取與該五元組信息匹配的進程文件的文件描述符的索引節(jié)點(inode)信息，根據(jù)索引節(jié)點信息遍歷文件系統(tǒng)中存儲的所有進程文件，獲取索引節(jié)點信息對應(yīng)的進程信息，將獲取到的進程信息以及五元組信息向服務(wù)器發(fā)送，以便服務(wù)器基于五元組信息以及進程信息分析網(wǎng)絡(luò)行為。其中，鏈接跟蹤是指跟蹤并記錄網(wǎng)絡(luò)連接的狀態(tài)。連接記錄項是指對每一個網(wǎng)絡(luò)連接的產(chǎn)生、傳輸及終止進行跟蹤記錄。

上述基于鏈接跟蹤機制獲取進程信息的過程中，存在匹配鏈較長且匹配效率不高的問題。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明實施例期望提供一種獲取網(wǎng)絡(luò)行為數(shù)據(jù)的方法、裝置及終端設(shè)備，以解決現(xiàn)有技術(shù)中，在獲取進程信息的過程中，存在的匹配鏈較長且匹配效率不高的問題。

為達到上述目的，本發(fā)明的技術(shù)方案是這樣實現(xiàn)的：

本發(fā)明實施例提供一種獲取網(wǎng)絡(luò)行為數(shù)據(jù)的方法，包括：

在獲取到網(wǎng)絡(luò)連接請求的情況下，通過調(diào)用設(shè)定的鉤子函數(shù)，獲取所述網(wǎng)絡(luò)連接請求對應(yīng)的五元組信息；所述設(shè)定的鉤子函數(shù)為用于處理網(wǎng)絡(luò)連接請求的內(nèi)核函數(shù)的鉤子函數(shù)；

根據(jù)所述五元組信息確定出所述網(wǎng)絡(luò)連接請求相關(guān)的進程的進程標識符；

獲取所述進程標識符對應(yīng)的進程信息。

上述方案中，所述在獲取到網(wǎng)絡(luò)連接請求的情況下，通過調(diào)用設(shè)定的鉤子函數(shù)，獲取所述網(wǎng)絡(luò)連接請求對應(yīng)的五元組信息，包括：

在獲取到網(wǎng)絡(luò)連接請求的情況下，確定出用于處理所述網(wǎng)絡(luò)連接請求的內(nèi)核函數(shù)；

調(diào)用確定出的內(nèi)核函數(shù)對應(yīng)的設(shè)定的鉤子函數(shù)；

根據(jù)調(diào)用的鉤子函數(shù)對應(yīng)的協(xié)議類型和所述網(wǎng)絡(luò)連接請求對應(yīng)的四元組信息，確定所述網(wǎng)絡(luò)連接請求對應(yīng)的五元組信息。

上述方案中，在調(diào)用確定出的內(nèi)核函數(shù)對應(yīng)的設(shè)定的鉤子函數(shù)時，所述方法包括：

根據(jù)調(diào)用的鉤子函數(shù)中的寄存器標識信息確定出寄存器；所述寄存器標識信息對應(yīng)的寄存器用于保存處理所述網(wǎng)絡(luò)連接請求的內(nèi)核函數(shù)的相關(guān)參數(shù)，所述相關(guān)參數(shù)包括設(shè)定的結(jié)構(gòu)體的首地址；

從確定出的寄存器中獲取所述設(shè)定的結(jié)構(gòu)體的首地址；

基于調(diào)用的鉤子函數(shù)中的數(shù)據(jù)指針偏移量，以及所述設(shè)定的結(jié)構(gòu)體的首地址，確定出所述四元組信息在內(nèi)存中的存儲地址；所述數(shù)據(jù)指針偏移量用于表征四元組信息相對于所述設(shè)定的結(jié)構(gòu)體的首地址的地址偏移量；

從確定出的存儲地址中讀取所述四元組信息。

上述方案中，還包括：

獲取所述終端設(shè)備的設(shè)備信息；所述設(shè)備信息包括處理器架構(gòu)信息、處理器運算位數(shù)以及操作系統(tǒng)的內(nèi)核版本信息；

基于所述處理器架構(gòu)信息以及所述內(nèi)核版本信息，確定出所述寄存器標識信息；

基于所述處理器運算位數(shù)確定所述數(shù)據(jù)指針偏移量；