(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211108789.3 (22)申请日 2022.09.13 (71)申请人 应急管理部大 数据中心 地址 100011 北京市东城区和平里九区甲4 号 (72)发明人 宋宇宸　张海山　 (74)专利代理 机构 北京兴智翔达知识产权代理 有限公司 1 1768 专利代理师 李泽中 (51)Int.Cl. H04L 9/40(2022.01) H04L 69/22(2022.01) (54)发明名称 一种协议重编辑的网络流量审计装置及方 法 (57)摘要 本发明公开了一种协议重编辑的网络流量 审计装置及方法， 属于流量审计的技术领域， 该 装置包括统一管理模块、 系统API重定向模块、 流 量性质判定模块、 入站流量复制打印模块和出站 流量编辑重写模块； 由统一管 理模块对其他模块 进行全生命周期的管理， 系统API重定向模块用 于进行操作系统内部的流量劫持， 流量判定模块 与入站流量复制打印模块和出站流量编辑重写 模块组成整个业务逻辑， 用来判定相关流量是否 符合标准， 从而进行后续业务执行工作。 本发明 能够解决现有的对流量进行审计时环境适应性 差、 承载性能低、 数据失真严重等问题。 权利要求书2页 说明书7页 附图2页 CN 115549980 A 2022.12.30 CN 115549980 A 1.一种协议重编辑的网络流量审计装置， 其特征在于， 包括统一管理模块、 系统API重 定向模块、 流 量性质判定模块、 入站流 量复制打印模块和出站流 量编辑重写模块； 所述统一管理模块对操作系统运行进程进行检查， 筛选出使用应用层私有协议的进程 后， 通过DLL注入方式， 将所述系统API重定向模块、 所述流量性质 判定模块、 所述入站流量 复制打印模块和所述出站流 量编辑重写模块注入到 筛选的进程中； 所述系统API重定向模块用于通过系统初始化对筛选的进程中的PLT表进行地址重写， 调用Socket库的读取和写入函数改为自定义编译的DL L库； 所述流量性质判定模块用于将流量数据引流到缓冲区中， 通过判断流量是出站流量还 是入站流量， 对流量进 行重定向， 将流量 发到所述入站流量复制打印模块、 所述出站流量编 辑重写模块或直接放行； 所述入站流量复制打印模块用于从缓冲区中获取入站流量， 通过内存拷贝的方式将入 站流量进行复制， 将入站流量数据转为流量日志， 以Syslog协议的形式外发至外部的日志 审计服务器进行审计； 所述出站流量编 辑重写模块用于从缓冲区中获取出站流量， 通过调取本地网卡和配置 文件信息后， 利用应用层协议的可扩展性， 在出站流量数据包头中写入进程信息、 IP信息、 端口信息以及会话 ID。 2.如权利要求1所述的协议重编 辑的网络流量审计装置， 其特征在于， 所述自定义编译 的DLL库为监控库， 筛选的进程经过所述自定义编译的DLL库的监控后转发到系统原有的 DLL库。 3.如权利要求1所述的协议重编 辑的网络流量审计装置， 其特征在于， 所述流量性质判 定模块用于对流量的协议进行解析， 判断流量的协议是否在适配范围内， 若协议在适配范 围内， 则转发至所述入站流量复制打印模块或所述出站流量编辑重写模块， 若协议不在适 配范围内则直接放行， 执行流量原本的业务函数； 其中， 所述适配范围指的自定义DLL库中 内置的流 量解析规则的范围。 4.如权利要求1所述的协议重编 辑的网络流量审计装置， 其特征在于， 所述入站流量复 制打印模块还用于将入站流 量的数据包重新写入至缓冲区中， 等待业 务应用读取使用。 5.如权利要求1所述的协议重编 辑的网络流量审计装置， 其特征在于， 所述出站流量编 辑重写模块还用于将出站 流量的数据包重新写入至缓冲区中， 由系统Socket发送至目的地 址。 6.一种协议重编辑的网络流 量审计方法， 其特 征在于， 包括以下步骤： S1： 对操作系 统运行进程进行检查， 筛选出使用应用层私有协议的进程后， 通过DLL注 入方式在筛 选的进程中执 行步骤S2 ‑S5； S2： 通过系统初始化对筛选的进程中的PLT表进行地址重写， 调用Socket库的读取和写 入函数改为自定义编译的DL L库； S3： 将流量数据引流到缓冲区中， 通过判断流量是出站流量还是入站流量， 对流量进行 重定向， 进行步骤S4、 S5或直接放行； S4： 从缓冲区中获取入站流量， 通过内存拷贝的方式将入站流量进行复制， 将入站流量 数据转为流量日志， 以Sysl og协议的形式外发至 外部的日志审计服 务器进行审计； S5： 从缓冲区中获取出站流量， 通过调取本地网卡和配置文件信息后， 利用应用层协议权　利　要　求　书 1/2 页 2 CN 115549980 A 2的可扩展性， 在出站流 量数据包头中写入进程信息、 IP信息、 端口信息以及会话 ID。 7.如权利要求6所述的协议重编 辑的网络流量审计方法， 其特征在于， 所述自定义编译 的DLL库为监控库， 筛选的进程经过所述自定义编译的DLL库的监控后转发到系统原有的 DLL库。 8.如权利要求6所述的协议重编辑的网络流量审计方法， 其特征在于， 所述步骤S3 中还 包括： 对流量的协议进行解析， 判断流量的协议是否在适配范围内， 若协议在适配范围内， 则转发至所述入站 流量复制打印模块或所述出站 流量编辑重写模块， 若协 议不在适配范围 内则直接放行， 执行流量原本的业务函数； 其中， 所述适配范围指的自定义DLL库中内置的 流量解析规则的范围。 9.如权利要求6所述的协议重编辑的网络流量审计方法， 其特征在于， 所述步骤S4完成 后， 入站流 量的数据包重新写入至缓冲区中， 等待业 务应用读取使用。 10.如权利要求6所述的协议重编辑的网络流量审计方法， 其特征在于， 所述步骤S5完 成后， 出站流 量数据包重写 写入至缓冲区中， 由系统Socket发送至目的地址 。权　利　要　求　书 2/2 页 3 CN 115549980 A 3