《表1 netstat-anop查看进程与流五元组映射表》
提示:宽带有限、当前游客访问压缩模式
本系列图表出处文件名:随高清版一同展现
《基于异常加密流量标注的Android恶意进程识别方法研究》
每个TCP或UDP数据流均可用唯一的流五元组特征描述,进程与流五元组特征之间也可建立一一映射,因此可以通过流五元组特征在进程与数据流之间建立关联。Android内核基于Linux系统,使用netstat-anop指令可以实时查看进程与流五元组映射情况。表1是使用netstat命令查看到两个TCP流和一个UDP流五元组特征值与进程的映射关系,第一个记录表示Android终端使用IP地址192.168.137.163、端口39510与互联网服务器建立了一个TCP连接,服务器IP地址为123.126.45.26、端口443,产生这个通信流的进程PID为1384,进程名为firefox-esr。这个TCP数据流是用户使用火狐浏览器访问新浪主页时产生的,由于页面尚未关闭,因此流状态为ESTABLISHED。通过循环执行netstat-anop指令可以实时获取进程产生数据流情况,建立进程与流五元组的实时映射关系。
图表编号 | XD00175833000 严禁用于非法目的 |
---|---|
绘制时间 | 2020.07.10 |
作者 | 徐国天 |
绘制单位 | 中国刑事警察学院网络犯罪侦查系 |
更多格式 | 高清、无水印(增值服务) |