《表1 netstat-anop查看进程与流五元组映射表》

  提示：宽带有限、当前游客访问压缩模式

本系列图表出处文件名：随高清版一同展现

《基于异常加密流量标注的Android恶意进程识别方法研究》

1. 获取 高清版本忘记账户？点击这里登录

1. 下载图表忘记账户？点击这里登录

每个TCP或UDP数据流均可用唯一的流五元组特征描述，进程与流五元组特征之间也可建立一一映射，因此可以通过流五元组特征在进程与数据流之间建立关联。Android内核基于Linux系统，使用netstat-anop指令可以实时查看进程与流五元组映射情况。表1是使用netstat命令查看到两个TCP流和一个UDP流五元组特征值与进程的映射关系，第一个记录表示Android终端使用IP地址192.168.137.163、端口39510与互联网服务器建立了一个TCP连接，服务器IP地址为123.126.45.26、端口443，产生这个通信流的进程PID为1384，进程名为firefox-esr。这个TCP数据流是用户使用火狐浏览器访问新浪主页时产生的，由于页面尚未关闭，因此流状态为ESTABLISHED。通过循环执行netstat-anop指令可以实时获取进程产生数据流情况，建立进程与流五元组的实时映射关系。