(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210969009.8 (22)申请日 2022.08.12 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融大街31号 (72)发明人 陈茂飞　刘东鑫　吴波　张静静　 汪来富　 (74)专利代理 机构 北京律智知识产权代理有限 公司 11438 专利代理师 孙宝海 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/02(2022.01) (54)发明名称 流量检测规则的处理、 网络流量的检测方 法、 装置及设备 (57)摘要 本公开是关于一种流量检测规则的处理、 网 络流量的检测方法、 装置及设备， 涉及网络安全 技术领域， 该方法包括： 获取核心网络流量检测 规则， 并对所述核心网络流量检测规则进行解 析， 得到所述核心网络流量检测规则中包括的规 则属性信息； 根据所述规则属性信息计算所述核 心网络流量检测规则的重要程度值， 并根据所述 重要程度值对所述核心网络流量检测规则进行 排序； 从排序后的核心网络流量检测规则中选取 目标网络流量检测规则； 将所述目标网络流量检 测规则以键值对的形式存储至内核空间中的扩 展的伯克利数据包 过滤器eBPF检测引擎中。 本公 开在不影响精确度的情况下提高了目标网络流 量检测的性能以及能够支持更多的检测规则。 权利要求书3页 说明书16页 附图6页 CN 115426135 A 2022.12.02 CN 115426135 A 1.一种流 量检测规则的处 理方法， 其特 征在于， 包括： 获取核心网络流量检测规则， 并对所述核心网络流量检测规则进行解析， 得到所述核 心网络流 量检测规则中包括的规则属性信息； 根据所述规则属性信 息计算所述核心网络流量检测规则的重要程度值， 并根据 所述重 要程度值对所述核心网络流 量检测规则进行排序； 从排序后的核心网络流量检测规则中选取重要程度值大于预设阈值的核心网络流量 检测规则作为目标网络流 量检测规则； 将所述目标网络流量检测规则以键值对的形式存储至内核空间中的扩展的伯克利数 据包过滤器eBPF检测引擎中。 2.根据权利要求1所述的流量检测规则的处理方法， 其特征在于， 所述规则属性信 息包 括威胁级别、 时效性以及命中频率中的一种或多种； 其中， 根据所述 规则属性信息计算所述核心网络流 量检测规则的重要程度值， 包括： 根据所述异常流量的威胁级别和/或时效性和/或命中频率， 计算核心网络流量检测规 则的重要程度值。 3.根据权利要求2所述的流量检测规则的处理方法， 其特征在于， 根据 所述异常流量的 威胁级别和/或时效性和/或命中频率， 计算核心网络流 量检测规则的重要程度值， 包括： 为所述威胁级别、 时效性以及命中频率配置第一权 重值、 第二权 重值以及第三权 重值； 计算所述威胁级别以及第一权重值之间的第一乘积运算结果， 和/或所述时效性与第 二权重值之间的第二乘积运算结果， 和/或所述命中频率与第三权重值之间的第三乘积运 算结果； 根据所述第一乘积运算结果和/或第 二乘积运算结果和/或第三乘积运算结果， 得到所 述核心网络流 量检测规则的重要程度值。 4.根据权利要求1所述的流量检测规则的处理方法， 其特征在于， 将所述目标网络流量 检测规则以键值对的形式存储至内核空间中的扩展的伯克利数据包过滤器eBPF检测引擎 中， 包括： 基于预设的语言编写规则构建基于正则表达 式的特征检测算法程序， 并基于预设的编 译器对基于正则表达式的特征检测算法程序进行编译构建， 得到基于扩展的伯克利数据包 过滤器eBPF的指令序列； 调用内核 空间的扩展的伯克利数据包过滤器eBPF检测引擎 中的加载程序， 将基于eBPF 的指令序列注入eBPF检测引擎中； 将所述目标网络流量检测规则注入所述基于eBPF的指令序列中， 并以eBPF键值对的形 式进行存 储。 5.一种网络流 量的检测方法， 其特 征在于， 包括： 接收待检测网络流量， 并调用配置于内核空间的扩展的伯克利数据包过滤器eBPF检测 引擎中的目标网络流量检测规则； 其中， 所述目标网络流量检测规则是通过权利要求 1‑4任 一项所述的流 量检测规则的处 理方法对核心网络流 量检测规则进行处 理得到的； 基于所述目标网络流量检测规则对所述待检测网络流量中的待检测报文数据进行实 时检测， 得到检测结果， 并根据所述检测结果判断所述待检测网络流 量是否为异常流 量； 在确定所述待检测网络流量为异常流量 时， 对与异常网络流量对应的应用程序访问请权　利　要　求　书 1/3 页 2 CN 115426135 A 2求进行阻断， 并在确定所述待检测网络流量为正常流量时， 对与正常网络流量对应的应用 程序访问请求进行转发。 6.根据权利要求5所述的网络流量的检测方法， 其特征在于， 基于所述目标网络流量检 测规则对所述待检测网络流 量中的待检测报文数据进行实时检测， 得到检测结果， 包括： 对所述待检测网络流量中的待检测报文数据进行解析， 得到所述待检测报文数据中包 括的待检测字段， 并根据所述待检测字段构建待匹配正则表达式； 在所述目标网络流量检测规则中对所述待 匹配正则表达式进行匹配， 得到所述检测结 果。 7.根据权利要求6所述的网络流量的检测方法， 其特征在于， 所述待检测字段包括流量 类别、 流标签、 有效载荷、 源地址以及目的地址中的多种； 所述源地址包括源终端的源互联网协议地址和/或源媒体存取控制位址， 所述目的地 址包括目的终端的目的互联网协议 地址和/或目的媒体存取控制位址 。 8.根据权利要求7所述的网络流量的检测方法， 其特征在于， 对所述待检测网络流量中 的待检测报文数据进行解析， 得到所述待检测报文数据中包括的待检测字段， 并根据所述 待检测字段构建待匹配正则表达式， 包括： 对所述待检测网络流量中的待检测报文数据进行解析， 得到所述待检测报文数据中包 括的流量类别、 流标签、 有效载荷、 源地址以及目的地址； 对所述有效载荷进行解析， 得到所述有效载荷中包括的序列特征， 并根据所述流量类 别和/或流标签和 /或有效载荷和/或源地址和/或目的地址和 /或所述序列特征， 构建一个 或多个正则表达式。 9.一种流 量检测规则的处 理装置， 其特 征在于， 包括： 第一解析模块， 用于获取核心网络流量检测规则， 并对所述核心网络流量检测规则进 行解析， 得到所述核心网络流 量检测规则中包括的规则属性信息； 重要程度值计算模块， 用于根据所述规则属性信 息计算所述核心网络流量检测规则的 重要程度值， 并根据所述重要程度值对所述核心网络流 量检测规则进行排序； 流量检测规则 选取模块， 用于从排序后的核心网络流量检测规则中选取重要程度值大 于预设阈值的核心网络流 量检测规则作为目标网络流 量检测规则； 流量规则存储模块， 用于将所述目标网络流量检测规则以键值对的形式存储至内核空 间中的扩展的伯克利数据包过 滤器eBPF检测引擎中。 10.一种网络流 量的检测装置， 其特 征在于， 包括： 网络流量接收模块， 用于接收待检测网络流量， 并调用配置于内核空间的扩展的伯克 利数据包过滤器eBPF检测引擎中的目标网络流量检测规则； 其中， 所述目标网络流量检测 规则是通过权利要求1 ‑4任一项所述的流量检测规则的处理方法对核心网络流量检测规则 进行处理得到的； 网络流量检测模块， 用于基于所述目标网络流量检测规则对所述待检测网络流量中的 待检测报文数据进行实时检测， 得到检测结果， 并根据所述检测结果判断所述待检测网络 流量是否为异常流 量； 访问请求阻断模块， 用于在确定所述待检测网络流量为异常流量时， 对与异常网络流 量对应的应用程序访问请求进行阻断， 并在确定所述待检测网络流量为正常流量时， 对与权　利　要　求　书 2/3 页 3 CN 115426135 A 3