(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210946970.5 (22)申请日 2022.08.09 (71)申请人 微栈科技 （浙江） 有限公司 地址 312099 浙江省绍兴 市越城区稽山 街 道阳明北路683号8楼80 5室 (72)发明人 黄剑锋　章璟　 (74)专利代理 机构 上海剑秋知识产权代理有限 公司 31382 专利代理师 徐浩俊 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种流量安全特征的识别系统和方法 (57)摘要 本发明公开了一种流量安全特征的识别系 统， 涉及云计算技术领域， 包括： 原始报文采集模 块和用户态识别模块， 原始报文采集模块部署在 Linux的内核空间， 用户态识别模块部署在Linux 的用户空间， 原始报文采集模块和用户态识别模 块通信连接。 本发明还公开了一种流量安全特征 的识别方法， 包括S100、 准备工作； S200、 原始报 文采集； S300、 原始报文片段分析和处理； S400、 流日志更新。 本发明实现了报文采集及安全特征 识别的超 轻量化， 适合在云计算内部虚拟化的环 境中部署和完成功能。 权利要求书2页 说明书6页 附图3页 CN 115314294 A 2022.11.08 CN 115314294 A 1.一种流 量安全特征识别系统， 其特 征在于， 包括： 原始报文采集模块， 接收原始报文， 处理得到原始报文片段和对应的原始流日志， 并存 入共享内存； 用户态识别模块， 定时从所述共享内存读取所述原始报文片段和对应的原始流日志， 根据动态采集识别规则对所述原始报文片段进行分析和处理， 生成应用特征标签和行为特 征标签； 所述原始报文采集模块部署在Linux的内核 空间， 所述用户态识别模块部署在Linux的 用户空间， 所述原 始报文采集模块和所述用户态 识别模块 通信连接 。 2.如权利要求1所述的流量安全特征识别系统， 其特征在于， 所述动态采集识别规则包 含采集配置参数及原始流规则模板， 所述采集配置参数可被所述用户态识别模块直接读 取， 所述原 始流规则模板经 过预编译后生成流 规则模板文件供 所述用户态 识别模块使用。 3.如权利要求2所述的流量安全特征识别系统， 其特征在于， 所述所述流量安全特征识 别系统还包括特征编译模块， 内置h yperscan编译模块组件， 对 所述原始流规则模板进行预 编译， 生成所述流规则模板文件， 加载到所述用户态识别模块使用， 所述特征编译模块和所 述用户态 识别模块 通信连接 。 4.如权利要求3所述的流量安全特征识别系统， 其特征在于， 所述采集配置参数包括虚 拟设备唯一标识、 源IP、 目标IP、 源端口、 目的端口、 网络层协议类型、 传输层协 议类型、 包 数 量、 包长度、 采集持续时间、 应用协 议类型、 流规则模板ID， 所述虚拟设备唯一标识是必选字 段， 其余是可选， 所述采集配置参数 无约定时， 默认为 不做限制过 滤及识别要求。 5.如权利要求4所述的流量安全特征识别系统， 其特征在于， 所述用户态识别模块使用 智能缓存功能， 持续写入流特征画像及对应的应用特征标签和行为特征标签， 当读取到所 述原始报文片段及对应的原始流日志 时， 首先查询智能缓存， 通过所述原始流日志中提取 的流特征画像匹配输出应用特 征标签和行为特 征标签。 6.一种流量安全特征识别方法， 使用如权利要求5所述的流量安全特征识别系统， 其特 征在于， 包括如下步骤： S100、 准备工作； S200、 原始报文采集， 所述原始报文采集模块接收原始报文， 处理得到原始报文片段和 对应的原 始流日志， 并存 入共享内存； S300、 原始报文片段分析和处理， 所述用户态识别模块定时从所述共享内存读取所述 原始报文片段和对应的原始 流日志， 根据动态采集识别规则对所述原始报文片段进行分析 和处理， 生成应用特 征标签和行为特 征标签； S400、 流日志更新， 所述原始流日志经所述用户态识别模块处理， 和所述应用特征标签 及所述行为特 征标签一起生成最终流日志。 7.如权利要求6所述的流 量安全特征识别方法， 其特 征在于， 所述 步骤S100包括： S110、 特征编译， 所述特征编译模块对原始流规则 模板中的特征数据进行预处理， 转换 成hyperscan编译模块支持的正则表达式文件， 调用所述h yperscan编译模块组件进行预编 译， 生成多个流 量特征对应的流 规则模板文件； S120、 启动用户态 识别模块； S130、 加载动态采集识别规则， 所述用户态 识别模块加载 所述动态采集识别规则。权　利　要　求　书 1/2 页 2 CN 115314294 A 28.如权利要求6或7 所述的流 量安全特征识别方法， 其特 征在于， 所述 步骤S300包括： S310、 原始报文片段及原始流日志检查， 所述用户态识别模块定时检查所述共享内存 的所述原 始报文片段及对应的原 始流日志； S320、 原始报文片段及原始流日志读取， 响应于所述原始报文片段及对应的原始流日 志到达， 所述用户态 识别模块读取 所述原始报文片段及对应的原 始流日志； S330、 原始报文片段加入队列， 所述用户态识别 模块根据所述动态采集识别规则， 将所 述原始报文片段加入队列； S340、 原始报文片段分组， 如果所述队列中的所述原始报文片段及对应的原始流日志 符合所述动态采集识别规则要求， 则执行S 350， 否则返回S310， 直到所述动态采集识别规则 所需的所有原始报文片段及对应的原始流日志都被加入所述队列， 进行排序 处理， 在所述 队列中标记为同一组原 始报文片段； S350、 流特征画像对比， 所述用户态识别模块先从所述队列中的所述原始流日志提取 流特征画像， 与智能缓存中的流特征画像进 行对比， 计算出相似度的评估分值， 如果评估分 值超过预设的阈值， 则匹配成功， 执 行S380， 否则执 行S360及S370； S360、 原始报文片段扫描， 所述用户态识别模块使用流量识别功能组件对一组原始报 文片段进行扫描， 输出扫描结果， 根据所述扫描结果计算出应用特 征标签及行为特 征标签； S370、 流特征画像写入， 所述用户态识别 模块报文将所述流特征画像、 所述流特征画像 的生命周期参数写入到所述智能缓存中， 完成扫描匹配； S380、 特征标签读取， 所述用户态识别模块从成功匹配的所述智能缓存中读出对应的 应用特征标签和行为特 征标签， 完成快速匹配。 9.如权利要求8所述的流量安全特征识别方法， 其特征在于， 所述流特征画像包括会话 开始时间、 会话结束时间、 源IP、 源端口、 目的IP、 目的端口、 网络层协议类型、 传输层协 议类 型、 应用层协议类型、 部分协议定长头字段、 数据报文数量及每个数据报文按OSI协议分层 的长度、 行为特 征上下文描述。 10.如权利要求9所述的流量安全特征识别方法， 其特征在于， 所述流特征画像的生命 周期参数是预先设定的时间数值， 在到达设定的时间数值后， 对应的流特征画像发生老化 删除， 针对不同的应用特 征标签和行为特 征标签， 允许设定不同的生命周期参数。权　利　要　求　书 2/2 页 3 CN 115314294 A 3