CN105429973A - 一种网卡流量监控方法及装置 - Google Patents
一种网卡流量监控方法及装置 Download PDFInfo
- Publication number
- CN105429973A CN105429973A CN201510762536.1A CN201510762536A CN105429973A CN 105429973 A CN105429973 A CN 105429973A CN 201510762536 A CN201510762536 A CN 201510762536A CN 105429973 A CN105429973 A CN 105429973A
- Authority
- CN
- China
- Prior art keywords
- byte number
- flow
- network interface
- interface card
- transmitted traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网卡流量监控方法及装置,该方法包括:每经过预设时间段,则提取网卡在经过的预设时间段内的接收流量字节数和发送流量字节数;由发送流量字节数中减去接收流量字节数,得到目标差值;判断目标差值是否大于预设阈值,如果是,则确定存在恶意程序。其中,接收流量字节数对应于下载速度,发送流量字节数对应于上传速度,因此,在目标差值大于预设阈值时,说明其上传速度在一定程度上大于下载速度,此时,确定计算机存在恶意程序。可见,本申请提供的一种网卡流量监控方法及装置通过对网卡流量的监控,能够在操作简便的同时,有效判断出计算机是否存在恶意程序,进而保证计算机和网络的安全连接。
Description
技术领域
本发明涉及流量监控技术领域,更具体地说,涉及一种网卡流量监控方法及装置。
背景技术
随着网络时代的来临,人们的生活方式也发生了很大的变化,这些变化体现在其工作、学习和生活中的很多方面,如工作中通过网络沟通交流、记录数据信息、预定会议室等;学习中通过搜索网络资料视频及文档拓宽阅读视野,提高学习效率;生活中通过网络购物的方式购买日常用品等。
但是在网络被广泛应用的同时,也会给人们带来安全隐患,如计算机被黑客攻击、存在木马病毒等,会导致计算机内的相关资料被窃取或丢失。可见,网络安全是至关重要的。在计算机中,网卡是用户与网络连接的关键所在,网络数据的进出是经过网卡才能呈现的。发明人发现,通过网卡流量的变化能够在一定程度上判断是否存在恶意程序,而现有技术中并不存在通过网卡流量确定是否存在恶意程序的技术方案。
综上所述,如何提供一种依据网卡流量确定是否存在恶意程序的技术方案,是目前本领域技术人员亟待解决的问题。
发明内容
本发明的目的是提供一种网卡流量监控方法及装置,以依据网卡流量确定是否存在恶意程序。
为了实现上述目的,本发明提供如下技术方案:
一种网卡流量监控方法,包括:
每经过预设时间段,则提取网卡在经过的所述预设时间段内的接收流量字节数和发送流量字节数;
由所述发送流量字节数中减去所述接收流量字节数,得到目标差值;
判断所述目标差值是否大于预设阈值,如果是,则确定存在恶意程序。
优选的,还包括:
利用所述接收流量字节数计算所述网卡在所述预设时间段内的平均接收流量;
利用所述发送流量字节数计算所述网卡在所述预设时间段内的平均发送流量;
将所述平均接收流量及所述平均发送流量转换成预设格式,并进行显示。
优选的,还包括:
如果所述目标差值大于所述预设阈值,则输出存在恶意程序的提示信息。
优选的,还包括:
如果所述目标差值大于所述预设阈值,则获取进程信息,并利用所述进程信息确定所述恶意程序的位置信息。
优选的,还包括:
接收外界输入的控制信息;
获取所述网卡在接收所述控制信息的时刻之前的预设时间段内的接收流量字节数和发送流量字节数;
由所述发送流量字节数中减去所述接收流量字节数,得到目标差值;
判断所述目标差值是否大于预设阈值,如果是,则确定存在恶意程序。
一种网卡流量监控装置,包括:
第一流量提取模块,用于每经过预设时间段,则提取网卡在经过的所述预设时间段内的接收流量字节数和发送流量字节数;
第一差值获取模块,用于由所述发送流量字节数中减去所述接收流量字节数,得到目标差值;
第一判断模块,用于判断所述目标差值是否大于预设阈值;
第一确定模块,用于如果所述目标差值大于预设阈值,则确定存在恶意程序。
优选的,还包括:
第一计算模块,用于利用所述接收流量字节数计算所述网卡在所述预设时间段内的平均接收流量;
第二计算模块,用于利用所述发送流量字节数计算所述网卡在所述预设时间段内的平均发送流量;
显示模块,用于将所述平均接收流量及所述平均发送流量转换成预设格式,并进行显示。
优选的,还包括:
提示模块,用于如果所述目标差值大于所述预设阈值,则输出存在恶意程序的提示信息。
优选的,还包括:
位置获取模块,用于如果所述目标差值大于所述预设阈值,则获取进程信息,并利用所述进程信息确定所述恶意程序的位置信息。
优选的,还包括:
接收模块,用于接收外界输入的控制信息;
第二流量提取模块,用于获取所述网卡在接收所述控制信息的时刻之前的预设时间段内的接收流量字节数和发送流量字节数;
第二差值获取模块,用于由所述发送流量字节数中减去所述接收流量字节数,得到目标差值;
第二判断模块,用于判断所述目标差值是否大于预设阈值;
第二确定模块,用于如果所述目标差值大于预设阈值,则确定存在恶意程序。
本发明提供了一种网卡流量监控方法及装置,该方法包括:每经过预设时间段,则提取网卡在经过的预设时间段内的接收流量字节数和发送流量字节数;由发送流量字节数中减去接收流量字节数,得到目标差值;判断目标差值是否大于预设阈值,如果是,则确定存在恶意程序。发明人发现,当出现恶意程序时,计算机的上传速度会大大超过下载速度,因此,提取网卡在预设时间段内的接收流量字节数和发送流量字节数,由于接收流量字节数和发送流量字节数均对应于相同的预设时间段,因此,对其平均流量的判断和对其流量字节数的判断是一致的,进一步的,接收流量字节数对应于下载速度,发送流量字节数对应于上传速度,因此,在发送流量字节数减去接收流量字节数后得到的目标差值大于预设阈值时,说明其上传速度在一定程度上大于下载速度,此时,确定计算机存在恶意程序。可见,本申请提供的一种网卡流量监控方法及装置通过对网卡流量的监控,能够在操作简便的同时,有效判断出计算机是否存在恶意程序,进而保证计算机和网络的安全连接。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种网卡流量监控方法的流程图;
图2为本发明实施例提供的一种网卡流量监控装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,其示出了本发明实施例提供的一种网卡流量监控方法的流程图,可以包括以下步骤:
S11:每经过预设时间段,则提取网卡在经过的预设时间段内的接收流量字节数和发送流量字节数。
预设时间段可以根据实际需要进行设定,可以将其设置的比较小,由此,得到的接收流量字节数和发送流量字节数更能体现出当前时刻的网卡流量变化。并且,在方法实现过程中,也可以根据实际需要通过输入设备对预设时间段的设置进行改变。
步骤S11具体可以是:先获取网卡的流量信息文件,可以利用下列命令语句实现:/proc/net/dev;然后获取网卡的接收流量字节数,可以利用下列命令语句实现:grep$eth|tr:""|awk'{print$2}';进而获取网卡的发送流量字节数,可以利用下列命令语句实现:grep$eth|tr:""|awk'{print$10}'。当然,接收流量字节数和发送流量字节数的获取顺序可以根据实际需要进行确定,不仅仅局限于上述实现方式。
S12:由发送流量字节数中减去接收流量字节数,得到目标差值。
S13:判断目标差值是否大于预设阈值,如果是,则执行步骤S14,如果否,则执行步骤S15。
其中,预设阈值可以根据实际情况进行确定,也可以根据实际需要通过输入设备对预设阈值的设置进行改变。发明人发现,一般情况下,没有恶意程序出现时,计算机的下载速度会比上传速度大很多,但是当恶意程序出现后,计算机的上传速度会大大超过下载速度,而上传速度对应网卡的平均发送流量,下载速度对应网卡的平均接收流量,平均发送流量即为发送流量字节数与预设时间段的比值,平均接收流量即为接收流量字节数与预设时间段的比值,由于预设时间段是一致的,因此,对于接收流量字节数与发送流量字节数的比较也相当于对于平均接收流量和平均发送流量的比较,进一步相当于下载速度和上传速度的比较。
S14:确定存在恶意程序。
目标差值大于预设阈值,说明上传速度在一定程度上大于下载速度,此时,说明计算机存在恶意程序,或者说很大可能存在恶意程序。因此,直接判定存在恶意程序,以对其进行相应的处理,避免恶意程序对于计算机的不良影响。
S15:确定不存在恶意程序。
目标差值不大于预设阈值,说明上传速度不大于下载速度,此时,可直接判定计算机不存在恶意程序。
当计算机出现恶意程序时,其上传速度会大大超过下载速度,利用网卡在预设时间段内的接收流量字节数和发送流量字节数判断计算机的上传速度和下载速度的关系,并且在发送流量字节数减去接收流量字节数后的目标差值大于预设阈值时,对应于上传速度在一定程度上大于下载速度,确定计算机存在恶意程序。可见,本申请提供的一种网卡流量监控方法通过对网卡流量的监控,能够在操作简便的同时,有效判断出是否计算机存在恶意程序,从而保证了计算机与网络的安全连接,进一步保证了计算机的正常使用。
上述实施例提供的一种网卡流量监控方法,还可以包括:
利用接收流量字节数计算网卡在预设时间段内的平均接收流量;
利用发送流量字节数计算网卡在预设时间段内的平均发送流量;
将平均接收流量及平均发送流量转换成预设格式,并进行显示。
平均接收流量对应于下载速度,平均发送流量对应于上传速度,将平均接收流量和平均发送流量转换成预设格式,预设格式可以根据实际需要进行设定,如B/s格式,KB/s格式,MB/s格式等,进行显示,以便于用户统计网络情况。
上述实施例提供的一种网卡流量监控方法,还可以包括:
如果目标差值大于预设阈值,则输出存在恶意程序的提示信息。
其中,提示信息可以是以多种方式实现的,如通过警报器进行警报,或者通过提示框进行提示,等,当然,其他方式实现的提示信息均在本发明的保护范围之内。由此,用户可以及时获知恶意程序的存在情况,进而对计算机进行相应的处理,以停止恶意程序对于计算机造成的不良影响。
另外,上述实施例提供的一种网卡流量监控方法,还可以包括:
如果目标差值大于预设阈值,则获取进程信息,并利用进程信息确定恶意程序的位置信息。
当确定存在恶意程序之后,可以获取计算机中所有的进程信息,进程即为计算机中的程序关于某数据集合上的一次运行活动,通过对进程信息的获取,能够判断出是否有存在异常的进程,进而根据存在异常的进程确认恶意程序的位置,以对恶意程序进行删除等处理,停止恶意程序对于计算机的不良影响。
上述实施例提供的一种网卡流量监控方法,还可以包括:
接收外界输入的控制信息;
获取网卡在接收控制信息的时刻之前的预设时间段内的接收流量字节数和发送流量字节数;
判断发送流量字节数是否大于接收流量字节数,如果是,则确定存在恶意程序。
接收外界输入的控制信息,即为接收用户通过输入设备输入的控制信息,在接收到控制信息时,不管上一次获取流量字节数至当前时刻的时间是否达到预设时间段,均进行获取当前时刻之前预设时间段的流量字节数的获取的步骤,由此,能够在用户使用计算机察觉出计算机异常或者想要获知网卡流量变化情况时,随时对计算机输入控制信息,及时获知网卡流量变化,提升了用户体验。
与上述方法实施例相对应,本发明实施例还提供了一种网卡流量监控装置,如图2所示,可以包括:
第一流量提取模块21,用于每经过预设时间段,则提取网卡在经过的预设时间段内的接收流量字节数和发送流量字节数;
第一差值获取模块22,用于由发送流量字节数中减去接收流量字节数,得到目标差值;
第一判断模块23,用于判断目标差值是否大于预设阈值;
第一确定模块24,用于如果目标差值大于预设阈值,则确定存在恶意程序。
当计算机出现恶意程序时,其上传速度会大大超过下载速度,利用网卡在预设时间段内的接收流量字节数和发送流量字节数判断计算机的上传速度和下载速度的关系,并且在发送流量字节数减去接收流量字节数后的目标差值大于预设阈值时,对应于上传速度在一定程度上大于下载速度,确定计算机存在恶意程序。可见,本申请提供的一种网卡流量监控装置通过对网卡流量的监控,能够在操作简便的同时,有效判断出是否计算机存在恶意程序,从而保证了计算机与网络的安全连接,进一步保证了计算机的正常使用。
上述实施例提供的一种网卡流量监控装置,还可以包括:
第一计算模块,用于利用接收流量字节数计算网卡在预设时间段内的平均接收流量;
第二计算模块,用于利用发送流量字节数计算网卡在预设时间段内的平均发送流量;
显示模块,用于将平均接收流量及平均发送流量转换成预设格式,并进行显示。
上述实施例提供的一种网卡流量监控装置,还可以包括:
提示模块,用于如果目标差值大于预设阈值,则输出存在恶意程序的提示信息。
上述实施例提供的一种网卡流量监控装置,还可以包括:
位置获取模块,用于如果目标差值大于预设阈值,则获取进程信息,并利用进程信息确定恶意程序的位置信息。
上述实施例提供的一种网卡流量监控装置,还可以包括:
接收模块,用于接收外界输入的控制信息;
第二流量提取模块,用于获取网卡在接收控制信息的时刻之前的预设时间段内的接收流量字节数和发送流量字节数;
第二差值获取模块,用于由发送流量字节数中减去接收流量字节数,得到目标差值;
第二判断模块,用于判断目标差值是否大于预设阈值;
第二确定模块,用于如果目标差值大于预设阈值,则确定存在恶意程序。
其中,第二差值获取模块和第一差值获取模块可以为同一模块,第二判断模块和第一判断模块可以为同一模块,第二确定模块和第一确定模块也可以为同一模块。
另外,由于本发明实施例提供的一种网卡流量监控装置与本发明实施例提供的一种网卡流量监控方法是相对应的,因此,上述装置实施例中相关部分的具体说明可参见上述方法实施例中对应部分的说明。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种网卡流量监控方法,其特征在于,包括:
每经过预设时间段,则提取网卡在经过的所述预设时间段内的接收流量字节数和发送流量字节数;
由所述发送流量字节数中减去所述接收流量字节数,得到目标差值;
判断所述目标差值是否大于预设阈值,如果是,则确定存在恶意程序。
2.根据权利要求1所述的方法,其特征在于,还包括:
利用所述接收流量字节数计算所述网卡在所述预设时间段内的平均接收流量;
利用所述发送流量字节数计算所述网卡在所述预设时间段内的平均发送流量;
将所述平均接收流量及所述平均发送流量转换成预设格式,并进行显示。
3.根据权利要求1所述的方法,其特征在于,还包括:
如果所述目标差值大于所述预设阈值,则输出存在恶意程序的提示信息。
4.根据权利要求3所述的方法,其特征在于,还包括:
如果所述目标差值大于所述预设阈值,则获取进程信息,并利用所述进程信息确定所述恶意程序的位置信息。
5.根据权利要求1至4任一项所述的方法,其特征在于,还包括:
接收外界输入的控制信息;
获取所述网卡在接收所述控制信息的时刻之前的预设时间段内的接收流量字节数和发送流量字节数;
由所述发送流量字节数中减去所述接收流量字节数,得到目标差值;
判断所述目标差值是否大于预设阈值,如果是,则确定存在恶意程序。
6.一种网卡流量监控装置,其特征在于,包括:
第一流量提取模块,用于每经过预设时间段,则提取网卡在经过的所述预设时间段内的接收流量字节数和发送流量字节数;
第一差值获取模块,用于由所述发送流量字节数中减去所述接收流量字节数,得到目标差值;
第一判断模块,用于判断所述目标差值是否大于预设阈值;
第一确定模块,用于如果所述目标差值大于预设阈值,则确定存在恶意程序。
7.根据权利要求6所述的装置,其特征在于,还包括:
第一计算模块,用于利用所述接收流量字节数计算所述网卡在所述预设时间段内的平均接收流量;
第二计算模块,用于利用所述发送流量字节数计算所述网卡在所述预设时间段内的平均发送流量;
显示模块,用于将所述平均接收流量及所述平均发送流量转换成预设格式,并进行显示。
8.根据权利要求6所述的装置,其特征在于,还包括:
提示模块,用于如果所述目标差值大于所述预设阈值,则输出存在恶意程序的提示信息。
9.根据权利要求8所述的装置,其特征在于,还包括:
位置获取模块,用于如果所述目标差值大于所述预设阈值,则获取进程信息,并利用所述进程信息确定所述恶意程序的位置信息。
10.根据权利要求6至9任一项所述的装置,其特征在于,还包括:
接收模块,用于接收外界输入的控制信息;
第二流量提取模块,用于获取所述网卡在接收所述控制信息的时刻之前的预设时间段内的接收流量字节数和发送流量字节数;
第二差值获取模块,用于由所述发送流量字节数中减去所述接收流量字节数,得到目标差值;
第二判断模块,用于判断所述目标差值是否大于预设阈值;
第二确定模块,用于如果所述目标差值大于预设阈值,则确定存在恶意程序。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510762536.1A CN105429973A (zh) | 2015-11-10 | 2015-11-10 | 一种网卡流量监控方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510762536.1A CN105429973A (zh) | 2015-11-10 | 2015-11-10 | 一种网卡流量监控方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105429973A true CN105429973A (zh) | 2016-03-23 |
Family
ID=55507915
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510762536.1A Pending CN105429973A (zh) | 2015-11-10 | 2015-11-10 | 一种网卡流量监控方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105429973A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106685719A (zh) * | 2016-12-30 | 2017-05-17 | 郑州云海信息技术有限公司 | 一种网卡性能优化方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101605074A (zh) * | 2009-07-06 | 2009-12-16 | 中国人民解放军信息技术安全研究中心 | 基于网络通讯行为特征监测木马的方法与系统 |
CN103034807A (zh) * | 2011-10-08 | 2013-04-10 | 腾讯科技(深圳)有限公司 | 恶意程序检测方法和装置 |
CN103957205A (zh) * | 2014-04-25 | 2014-07-30 | 国家电网公司 | 一种基于终端流量的木马检测方法 |
CN104168272A (zh) * | 2014-08-04 | 2014-11-26 | 国家电网公司 | 一种基于通信行为聚类的木马检测方法 |
-
2015
- 2015-11-10 CN CN201510762536.1A patent/CN105429973A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101605074A (zh) * | 2009-07-06 | 2009-12-16 | 中国人民解放军信息技术安全研究中心 | 基于网络通讯行为特征监测木马的方法与系统 |
CN103034807A (zh) * | 2011-10-08 | 2013-04-10 | 腾讯科技(深圳)有限公司 | 恶意程序检测方法和装置 |
CN103957205A (zh) * | 2014-04-25 | 2014-07-30 | 国家电网公司 | 一种基于终端流量的木马检测方法 |
CN104168272A (zh) * | 2014-08-04 | 2014-11-26 | 国家电网公司 | 一种基于通信行为聚类的木马检测方法 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106685719A (zh) * | 2016-12-30 | 2017-05-17 | 郑州云海信息技术有限公司 | 一种网卡性能优化方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109815818B (zh) | 目标人物追踪方法、系统及相关装置 | |
CN107643977B (zh) | 防沉迷的方法及相关产品 | |
CN106127481B (zh) | 一种指纹支付方法及终端 | |
WO2015154093A3 (en) | Systems and methods for digital workflow and communication | |
CN107506646B (zh) | 恶意应用的检测方法、装置及计算机可读存储介质 | |
CN110798703A (zh) | 视频违规内容检测的方法、装置以及存储介质 | |
CN105992125B (zh) | 一种电子设备安全保护的方法和装置 | |
CN104301875A (zh) | 短消息处理方法和装置 | |
CN112311824A (zh) | 一种考勤信息处理的方法以及相关装置 | |
CN103051733A (zh) | 一种数据下载的方法及终端和系统 | |
CN108629280B (zh) | 人脸识别方法及移动终端 | |
CN104346550A (zh) | 一种信息处理方法以及一种电子设备 | |
CN108932486B (zh) | 指纹匹配方法、装置以及电子装置 | |
CN105429973A (zh) | 一种网卡流量监控方法及装置 | |
CN103679830A (zh) | 移动终端、服务器及签到系统 | |
CN205354032U (zh) | 一种基于云系统的高安全性计算机网络安全控制器 | |
CN109871685B (zh) | 一种rtf文件的解析方法及装置 | |
CN104539794A (zh) | 一种终端 | |
CN205080613U (zh) | 一种支持二维码扫描的智能接送系统 | |
CN115409869B (zh) | 一种基于mac跟踪的雪场轨迹分析方法及装置 | |
CN103295281A (zh) | 一种光控锁系统及其实现方法 | |
CN104915661A (zh) | 一种智能动态人脸识别加密系统 | |
CN204463128U (zh) | 一种身份信息识别验证装置 | |
CN115527045A (zh) | 一种用于雪场危险识别的图像辨别方法及装置 | |
CN106600766A (zh) | Ar头盔及其解锁方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160323 |