(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111499088.2 (22)申请日 2021.12.09 (71)申请人 绿盟科技 集团股份有限公司 地址 100089 北京市海淀区北洼路4 号益泰 大厦5层 申请人 北京神州绿盟科技有限公司 (72)发明人 彭添　叶建伟　刘文懋　谢正明　 顾杜娟　赵洪亮　王萌　 (74)专利代理 机构 北京同达信恒知识产权代理 有限公司 1 1291 代理人 万晓君 (51)Int.Cl. H04L 9/40(2022.01) H04L 43/028(2022.01) (54)发明名称 一种网络流量过滤方法、 装置、 介质、 产品和 设备 (57)摘要 本公开涉及一种网络流量过滤方法、 装置、 介质、 产品和设备。 其中， 根据报文的五元组信息 确定报文所属会话， 根据属于该会话的报文确定 预设的过滤参数对应的加权系数值， 基于加权系 数值， 对对应的过滤参数值进行加权求和， 利用 加权求和值来确定会话属于加密代理网络流量 的概率。 进一步将获得的概率与设定的阈值进行 比较， 从而确定该会话是否属于加密代理网络流 量。 在确定出一个会话是否属于加密代理网络流 量之后， 属于该会话的报文是否属于加密代理网 络流量即可以得到确定。 从而可以比较准确地区 分加密代理网络流量和非加密 代理网络流量， 实 现加密代理网络流量的准确过滤， 以便后续进一 步针对加密代理网络流量和非加密代理网络流 量分别进行处 理。 权利要求书3页 说明书15页 附图2页 CN 114422174 A 2022.04.29 CN 114422174 A 1.一种网络流 量过滤方法， 其特 征在于， 所述方法包括： 从待过滤报文队列获取待过 滤报文， 确定所述待过 滤报文对应的五元组信息； 根据所述五元组信息， 确定所述待过 滤报文所属的会话； 确定是否存在所述会话对应的网络流量类型标识， 所述网络流量类型标识包括加密代 理网络流 量标识和非加密代理网络流 量标识； 若确定不存在， 则根据 所述待过滤报文， 确定所述会话对应的加权系数值， 并确定是否 已获得所述会话对应的每 个加权系数值， 每 个加权系数值对应一个过 滤参数； 若确定已获得所述会话对应的每个加权系数值， 则根据每个加权系数值， 对每个过滤 参数确定出的参数值进行加权求和， 确定所述会话对应的加密代理网络流 量概率； 若所述加密代 理网络流量概率大于设定的阈值， 则确定所述会话对应的网络流量类型 标识为加密代理网络流量标识， 并确定所述待过滤报文对应的网络流量类型标识为所述会 话对应的网络流 量类型标识。 2.如权利要求1所述的方法， 其特征在于， 若确定存在所述会话对应的网络流量类型标 识， 则确定所述待过滤报文对应的网络流量类型标识为所述会话对应的网络流量类型标 识。 3.如权利要求1所述的方法， 其特征在于， 若确定尚未获得所述会话对应的每个加权系 数值， 则将所述待过 滤报文重新加入待过 滤报文队列。 4.如权利要求1所述的方法， 其特征在于， 若确定所述加密代理网络流量概率不大于设 定的阈值， 则确定所述会话对应的网络流量类型标识为非加密代理网络流量标识， 并确定 所述待过 滤报文对应的网络流 量类型标识为所述会话对应的网络流 量类型标识。 5.如权利要求1所述的方法， 其特征在于， 若确定不存在所述会话对应的网络流量类型 标识， 根据所述待过 滤报文， 确定所述会话对应的加权系数值之前， 所述方法还 包括： 确定所述待过滤报文对应的互联网协议地址是否属于预先设置的互联网协议地址白 名单或互联网协 议地址黑名单， 所述互联网协 议地址白名单用于记录已知的网络流量类型 为非加密代理网络流量的会话对应的互联网协 议地址， 所述互联网协议地址黑名单用于记 录已知的网络流 量类型为加密代理网络流 量的会话对应的互联网协议 地址； 根据所述待过 滤报文， 确定所述会话对应的加权系数值， 包括： 若确定所述待过滤报文对应的互联网协议地址不属于预先设置的互联网协议地址白 名单， 也不属于预先设置的互联网协 议地址黑名单， 根据所述待 过滤报文， 确定所述会话对 应的加权系数值。 6.如权利要求1～5任一所述的方法， 其特征在于， 确定是否已获得所述会话对应的每 个加权系数值， 包括： 确定根据所述待过 滤报文， 是否可以获得 所述会话的会话类型； 若确定可以获得所述会话的会话类型， 确定是否已经获得所述会话类型的会话对应的 每个加权系数值； 若确定已获得所述会话对应的每个加权系数值， 则根据每个加权系数值， 对每个过滤 参数确定出的参数值进行加权求和， 确定所述会话对应的加密代理网络流 量概率， 包括： 若确定已获得所述会话类型的会话对应的每个加权系数值， 则根据每个加权系数值， 对每个过滤参数确定出的参数值进行加权求和， 确定所述会话对应的加密代理网络流量概权　利　要　求　书 1/3 页 2 CN 114422174 A 2率。 7.如权利要求6所述的方法， 其特征在于， 若获得的所述会话的会话类型为传输控制协 议TCP会话类型， 则确定是否已经获得 所述会话类型的会话对应的每 个加权系数值包括： 确定是否已获得第二加权系数值、 第三加权系数值、 第 四加权系数值和第七加权系数 值中的至少一个， 以及第一加权系数值、 第五加权系数值和第六加权系数值； 其中， 所述第一加权系数值对应第一过滤参数， 所述第一过滤参数表示客户端到服务 器不含三次握手的第一个报文长度的权重， 所述第二加权系数值在客户端到服务器不含三 次握手的第一个报文长度在指定范围内时为第一数值， 否则为第二数值； 所述第二加权系数值对应第 二过滤参数， 所述第 二过滤参数表示服务器到客户端不含 三次握手的第一个负载非空报文长度取值的权重， 所述第二加权系数值在服务器到客户端 不含三次握 手的第一个负载非空报文长度取值 为指定值时为第一数值， 否则为第二数值； 所述第三加权系数值对应第 三过滤参数， 所述第 三过滤参数表示服务器到客户端含三 次握手的设定顺序范围内的报文中， 报文长度为设定值的数量的权重， 所述第三加权系 数 值在服务器到客户端含三次握手的设定顺序的范围内的报文中， 报文长度为设定值的数量 不小于设定数量时为第一数值， 否则为第二数值； 所述第四加权系数值对应第四过滤参数， 所述第四过滤参数表示客户端到服务器不含 三次握手的第一个报文窗口大小的权重， 所述第四加权系数值在客户端到服务器不含三次 握手的第一个报文窗口大小为指定窗口大小时为第一数值， 否则为第二数值； 所述第五加权系数值对应第五过滤参数， 所述第五过滤参数表示客户端到服务器指定 时长之后 或者设定的报文数量之后， 出现报文长度为设定长度的心跳包的权重， 所述第 五 加权系数值在客户端到服务器指定时长之后或者设定的报文 数量之后， 出现报文长度为设 定长度的心跳包时为第一数值， 否则为第二数值； 所述第六加权系数值对应第六过滤参数， 所述第六过滤参数表示服务器到客户端指定 时长之后 或者设定的报文数量之后， 出现报文长度为指定长度的心跳包的权重， 所述第 五 加权系数值在服务器到客户端指定时长之后或者设定的报文 数量之后， 出现报文长度为指 定长度的心跳包时为第一数值， 否则为第二数值； 所述第七加权系数值对应第七过滤参数， 所述第七过滤参数表示指定时间间隔内二元 组对应的总会话数的权重， 所述第七加权系数值在指 定时间间隔内二元组对应的总会话数 不大于设定会话数时为第一数值， 否则为第二数值。 8.如权利要求7所述的方法， 其特征在于， 若获得的所述会话的会话类型为纯TCP会话 类型， 则确定是否已经获得 所述会话类型的会话对应的每 个加权系数值包括： 确定是否已获得所述第一加权系数值、 所述第二加权系数值、 所述第三加权系数值和 所述第四加权系数值中的至少三个。 9.如权利要求7所述的方法， 其特征在于， 若获得的所述会话的会话类型为安全传输层 协议TLS会话类型， 则确定是否已经获得 所述会话类型的会话对应的每 个加权系数值包括： 确定是否已获得 所述第二加权系数值以及所述第三加权系数值。 10.一种网络流 量过滤装置， 其特 征在于， 所述装置包括： 接收模块， 用于从待过 滤报文队列获取待过 滤报文； 过滤结束判断模块， 用于确定所述待过滤报文对应的五元组信息； 根据所述五元组信权　利　要　求　书 2/3 页 3 CN 114422174 A 3