(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111419969.9 (22)申请日 2021.11.26 (71)申请人 江苏省未来网络创新研究院 地址 210000 江苏省南京市江宁开发区将 军大道37号 (72)发明人 马玥　谭航　鲍全松　范亮凯　 (74)专利代理 机构 北京卓岚智财知识产权代理 事务所 (特殊普通合伙) 11624 代理人 蒋真 (51)Int.Cl. G06F 9/48(2006.01) H04L 9/40(2022.01) (54)发明名称 一种虚拟网络流 量采集的方法 (57)摘要 本发明公开了一种虚拟网络流量采集的方 法， 包括以下步骤： S1.对网络流量进行采 集； S2. 对采集的网络流量进行加工处理； S3.对加工处 理后的网络流量进行分析； S4.对分析后的网络 流量进行异常检测。 通过对网络流量进行采集， 能够实现并发采集多个终端的网络流量， 从而提 高了流量采集的精确度； 通过对采集的网络流量 进行加工处理， 实现对网络流量的汇聚、 过滤、 修 剪和复制等操作， 能够过滤掉重复的数据包， 提 高分析的精度和速度， 并降低系统成本和集中监 控及分析网络流量； 通过对加工处理后的网络流 量进行分析， 能够实现对网络流量数据的实时监 控， 对具有安全威胁的数据及时进行处理， 进而 保证网络 数据传输过程中的安全性， 提高了网络 的安全性。 权利要求书2页 说明书5页 附图2页 CN 114116168 A 2022.03.01 CN 114116168 A 1.一种虚拟网络流 量采集的方法， 其特 征在于， 包括以下步骤： S1.对网络流 量进行采集； S2.对采集的网络流 量进行加工处 理； S3.对加工处 理后的网络流 量进行分析； S4.对分析后的网络流 量进行异常检测。 2.根据权利要求1所述的一种虚拟网络流量采集的方法， 其特征在于： 所述S1中对网络 流量进行采集的方法具体包括以下步骤： S101.创建多个进程， 每个所述进程包括多个线程， 每个进程与且只与一个采集列表对 应， 所述采集列表包括各终端的模型信息； S102.通过所述进程获取对应的所述采集列表， 以采集所述各终端的网络流量， 采集完 成后将采集 流量存入至内存结构。 3.根据权利要求1所述的一种虚拟网络流量采集的方法， 其特征在于： 所述S2中的加工 处理包括对网络流 量进行汇聚、 过 滤、 修剪和复制。 4.根据权利要求3所述的一种虚拟网络流量采集的方法， 其特征在于： 所述对 网络流量 进行汇聚包括将从多个分散物理位置采集的网络流量进行标记并汇聚在一起； 所述对网络 流量进行过滤包括过滤掉网络流量中的重复数据包； 所述对网络流量进 行修剪包括屏蔽或 去除敏感信息荷载报文； 所述对网络流量进行复制包括将经过汇 聚、 过滤和 修剪的网络流 量复制成多份。 5.根据权利要求1所述的一种虚拟网络流量采集的方法， 其特征在于： 所述S3 中对加工 处理后的网络流 量进行分析的方法具体包括以下步骤： S201.获取网络流 量数据， 得到网络流 量数据集； 确定网络流 量数据集的风险等级； S202.创建网络流量模型， 并根据网络流量数据集以及其对应的风险等级对网络流量 模型进行训练， 得到网络流 量风险模型； S203.采集网络流量数据， 输入网络流量风险模型， 得到对应网络流量数据的风险等 级； S204.对具有安全隐患的网络流 量数据进行处 理。 6.根据权利要求5所述的一种虚拟网络流量采集的方法， 其特征在于： 所述S201中网络 流量数据集的风险等级的计算公式为： D＝∑Wx×∑Sy； 其中， ∑Wx表示不同网络流量数据对应的权重； ∑Sy表示不同网络流量数据对应的安 全估值。 7.根据权利要求5所述的一种虚拟网络流量采集的方法， 其特征在于： 所述S204中对网 络流量数据进行处 理的方法， 包括以下步骤： 步骤一、 判断网络流 量数据的风险等级是否 达到临界值； 步骤二、 若网络流量数据的风险等级没有达到临界值， 则继续对下一组网络流量数据 进行监测； 若网络流量数据的风险等级达到临界值， 则将网络流量数据下发至风险等级队 列； 步骤三、 预警处 理模板对风险等级队列进行采集； 步骤四、 若在风险等级队列中没有采集到网络流量数据， 继续执行步骤三； 若在风险等权　利　要　求　书 1/2 页 2 CN 114116168 A 2级队列中采集到网络流 量数据， 继续执 行步骤五； 步骤五、 进行报警提醒并将网络流 量数据进行删除。 8.根据权利要求1所述的一种虚拟网络流量采集的方法， 其特征在于： 所述S4中对分析 后的网络流 量进行异常检测的方法具体包括以下步骤； S301.流量特征采集与态 势特征指标提取； S302.面向态 势特征的自适应学习与异常 分析； S303.网络异常态 势检测与告警。 9.根据权利要求8所述的一种虚拟网络流量采集的方法， 其特征在于： 所述S302中异常 分析为基于希尔伯特黄变换算法的异常检测分析， 所述基于希尔伯特黄变换算法分两步： 经验模态分解法EMD分解和希尔伯 特变换， 对信号进行EMD分解的过程其实是一个筛选过 程， 在这个过程中使信号由复杂的非线性谐波信号转变为简单的线性信号， 所述希尔伯特 变换过程是从所述线性信号中得到具有物理意义的瞬时频率； 所述经验模态分解法EMD分 解出的信号称为固有模态 函数IMF分量， 每个IMF分量都是单分量信号， 将IMF分量经过希尔 伯特变换获得一个只属于这 点的瞬时频率。 10.根据权利要求9所述的一种虚拟网络流量采集的方法， 其特征在于： 所述经验模态 分解法EMD分解， 包括如下步骤： 假设原信号为x(t),m(t)为极值点上下包络线的均值函数， 令s(t)＝x(t),h(t)为信号分解的中间变量， c(t)为 IMF函数， 信号分解过程如下： S401.求出函数x(t)的所有极大值点和极小值点， 通过三次样条插值函数分别构造出 上包络线和下包络线， 并计算出其均值 函数m(t)； S402.将函数x(t)减去均值 函数m(t)得到 h(t)， 即h(t)＝x(t) ‑m(t)； S403.判断h(t)是否满足IMF条件， 假如 不符合， 令x(t)＝h(t)， 对x(t)函数依次重复步 骤S401、 S402、 S40 3， 否则转到S404； S404.令imfi(t)＝h(t),s(t)＝s(t) ‑h(t)， 判断s(t)是否满足残余趋势项的条件， 如 果满足则令r(n)＝s(t)， 算法结束； 否则令x(t)＝s(t)， 重复S401 ‑S404， 求出n阶的IM F分量 imfn(t)及r(n)。权　利　要　求　书 2/2 页 3 CN 114116168 A 3