(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111509118.3 (22)申请日 2021.12.10 (71)申请人 苏州浪潮智能科技有限公司 地址 215100 江苏省苏州市吴中经济开发 区郭巷街道官浦路1号9幢 (72)发明人 刘帅甫　 (74)专利代理 机构 济南舜源专利事务所有限公 司 37205 代理人 赵阳 (51)Int.Cl. H04L 9/40(2022.01) H04L 43/12(2022.01) (54)发明名称 基于镜像容器的应用层流量检测方法、 装 置、 工具、 系统 (57)摘要 本发明属于网络安全检测技术领域， 具体提 供一种基于镜像容器的应用层流量检测方法、 装 置、 工具、 系统， 所述方法包括如下步骤： 打包原 有应用工程为镜像容器， 配置并启动镜像容器； 接收外部流量并将流量转发到镜像容器实现原 始数据模板映射后进行流量的应用检测； 在镜像 容器检测到正常流量后， 将正常流量转发给实际 的应用； 在镜像容器检测到恶意流量后， 对检测 到的恶意流量进行拦截并将恶 意流量上报； 对上 报的恶意流量进行分析提取特征信息并更新到 特征数据库。 能够适用于 各种平台的Web应用， 具 有较高的兼容性。 能够检测、 阻止恶意流量的攻 击。 能够在模拟真实业务场景的情况下隐藏真实 数据。 权利要求书2页 说明书9页 附图2页 CN 114338098 A 2022.04.12 CN 114338098 A 1.一种基于 镜像容器的应用层流 量检测方法， 其特 征在于， 包括如下步骤： 打包原有应用工程 为镜像容器， 配置并启动镜像容器； 接收外部流量并将流量转发到镜像容器实现原始数据模板映射后进行流量的应用检 测； 在镜像容器 检测到恶意 流量后， 对检测到的恶意 流量进行拦截并将恶意 流量上报； 对上报的恶意 流量进行分析提取 特征信息并更新到特 征数据库。 2.根据权利要求1所述的基于镜像容器的应用层流量检测方法， 其特征在于， 打包原有 应用工程 为镜像容器， 配置并启动镜像容器的步骤 包括： 打包原有应用工程 为镜像容器； 增加代理模块到 镜像容器中； 启动镜像容器， 配置其代理原应用的流 量。 3.根据权利要求1所述的基于镜像容器的应用层流量检测方法， 其特征在于， 接收外部 流量并将流 量转发到镜像容器实现原 始数据模板映射后进行流 量的检测的步骤 包括： 接收外部流量； 将流量转发到镜像容器； 在镜像容器中将原应用的原 始数据进行模板映射； 模板数据映射后， 进行流 量的检测。 4.根据权利要求3所述的基于镜像容器的应用层流量检测方法， 其特征在于， 将流量转 发到镜像容器的步骤之前包括： 分析并提取流 量特征； 将提取的流 量特征与特征数据库进行 特征匹配； 将匹配到的异常流 量进行拦截； 将流量转发到镜像容器的步骤 包括： 将特征匹配后的流 量转发到镜像容器。 5.根据权利要求1所述的基于镜像容器的应用层流量检测方法， 其特征在于， 该方法还 包括： 在镜像容器 检测到正常流 量后， 将正常流 量转发给实际的应用。 6.根据权利要求1所述的基于镜像容器的应用层流量检测方法， 其特征在于， 在镜像容 器检测到恶意 流量后， 对检测到的恶意 流量进行拦截的步骤 包括： 在镜像容器检测到恶意流量后， 将该恶意流量抛弃， 停止该流量对原应用网关的转发， 实现恶意 流量的拦截。 7.一种基于镜像容器的应用层流量检测装置， 其特征在于， 镜像容器生成模块、 转发模 块、 镜像容器、 处 理更新模块； 镜像容器生成模块， 用于打包原有应用工程 为镜像容器， 配置并启动镜像容器； 转发模块， 用于 接收外部流量并将流 量转发到镜像容器； 镜像容器， 用于实现原始数据模板映射后进行流量的应用检测； 在镜像容器检测到恶 意流量后， 对检测到的恶意 流量进行拦截并将恶意 流量上报； 处理更新模块， 用于对上报的恶意 流量进行分析提取 特征信息并更新到特 征数据库。 8.根据权利要求7所述的基于镜像容器的应用层流量检测装置， 其特征在于， 镜像容器权　利　要　求　书 1/2 页 2 CN 114338098 A 2包括模板数据映射模块、 镜像 应用模块、 流 量转发模块和流 量上报模块； 模板数据映射模块， 用于采用模板映射并的方式将原应用中真实的业务数据进行映 射； 镜像应用模块， 用于对传入的流量按照原有的业务逻辑进行处理， 若镜像应用产生了 异常， 则该流 量为恶意流量； 流量转发模块， 用于将镜像 应用模块处 理后的正常流 量转发给实际的应用； 流量上报模块， 用于将镜像 应用模块处 理后的异常流 量进行上报。 9.一种基于镜像容器的应用层流量检测工具， 其特征在于， 包括模板数据映射模块、 镜 像应用模块、 流 量转发模块和流 量上报模块； 模板数据映射模块， 用于采用模板映射并的方式将原应用中真实的业务数据进行映 射； 镜像应用模块， 用于对传入的流量按照原有的业务逻辑进行处理， 若镜像应用产生了 异常， 则该流 量为恶意流量； 流量转发模块， 用于将镜像 应用模块处 理后的正常流 量转发给实际的应用； 流量上报模块， 用于将镜像 应用模块处 理后的异常流 量进行上报。 10.一种基于镜像容器的应用层流量检测系统， 其特征在于， 包括流量检测装置和控制 平台； 流量检测装置包括如权利要求7 ‑8任一项权利要求所述的基于镜像容器的应用层流 量检测装置 流量检测装置与控制平台连接， 用于将处 理后的异常流 量进行上报控制平台； 控制平台， 用于对上报的恶意流量进行分析提取特征信 息并将提取的特征信 息更新到 特征数据库。权　利　要　求　书 2/2 页 3 CN 114338098 A 3