(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111554499.7 (22)申请日 2021.12.17 (71)申请人 恒安嘉新(北京)科技股份公司 地址 100086 北京市海淀区北三环西路25 号27号楼五层5 002室 (72)发明人 白司特　崔渊博　周忠义　阿曼太　 梁彧　傅强　田野　王杰　杨满智　 蔡琳　金红　陈晓光　 (74)专利代理 机构 北京品源专利代理有限公司 11332 代理人 马迪 (51)Int.Cl. H04L 9/40(2022.01) H04L 69/22(2022.01) (54)发明名称 流量检测方法、 装置、 设备及存 储介质 (57)摘要 本发明实施例公开了一种流量检测方法、 装 置、 设备及存储介质。 其中， 方法包括： 在目标报 文数据的目标会话流量数据中， 获取目标报文数 据的上下文包长序列； 在待检测流量数据中获取 待检测包长序列； 在确定待检测包长序列与上下 文包长序列的变化趋势一致的情况下， 确定待检 测流量数据中包括目标检测报文数据。 本发明实 施例可以实现在通信流量数据中对加密处理后 的报文内容进行检测， 确保通信报文内容的安全 性。 权利要求书2页 说明书13页 附图14页 CN 114221816 A 2022.03.22 CN 114221816 A 1.一种流 量检测方法， 其特 征在于， 包括： 在目标报文数据的目标会话 流量数据中， 获取 所述目标报文数据的上 下文包长序列； 在待检测流 量数据中获取待检测包长序列； 在确定所述待检测包长序列与所述上下文包长序列的变化趋势一致的情况下， 确定所 述待检测流 量数据中包括目标检测报文数据。 2.根据权利要求1所述的方法， 其特征在于， 在所述在目标报文数据的目标会话流量数 据中， 获取 所述目标报文数据的上 下文包长序列之前， 还 包括： 获取目标通信行为关联的密文流量数据， 并对所述密文流量数据进行解密处理， 得到 明文流量数据； 根据所述目标通信行为在所述明文流量数据中识别出明文会话流量数据， 并获取所述 明文会话 流量数据的会话标识数据； 在所述密文流 量数据中， 获取与所述会话标识数据匹配的所述目标会话 流量数据。 3.根据权利要求1所述的方法， 其特征在于， 所述在目标报文数据的目标会话流量数据 中， 获取所述目标报文数据的上 下文包长序列， 包括： 在所述目标会话流量数据中获取连续的第一数量的会话报文数据； 其中， 所述会话报 文数据中包括所述目标报文数据； 分别获取 各所述会话报文数据的会话报文包长数据； 根据所述会话报文数据的报文顺序和所述会话报文包长数据， 生成所述上下文包长序 列。 4.根据权利要求1所述的方法， 其特征在于， 所述在待检测流量数据中获取待检测包长 序列， 包括： 在所述待检测流 量数据中获取 连续的第二数量的待检测报文数据； 分别获取 各所述待检测报文数据的所述待检测报文包长数据； 根据所述待检测报文数据的报文顺序和所述待检测报文包长数据， 生成所述待检测包 长序列。 5.根据权利要求1所述的方法， 其特征在于， 所述确定所述待检测包长序列与 所述上下 文包长序列的变化趋势一 致， 包括： 获取所述待检测包长序列和所述上 下文包长序列的序列相似度； 在确定所述序列相似度达到序列相似度阈值的情况下， 确定所述待检测包长序列与 所 述上下文包长序列的变化趋势一 致； 或， 分别获取 所述待检测包长序列和所述上 下文包长序列的趋势图像数据； 获取所述趋势图像数据之间的图像相似度； 在确定所述图像相似度达到图像相似度阈值的情况下， 确定所述待检测包长序列与 所 述上下文包长序列的变化趋势一 致。 6.根据权利要求1所述的方法， 其特征在于， 在所述在待检测流量数据中获取待检测包 长序列之后， 还 包括： 在确定所述待检测包长序列和所述上下文包长序列的变化趋势不一致的情况下， 重复 在所述待检测流量数据中获取所述待检测包长序列， 直至确定所述待检测包长序列与所述 上下文包长序列的变化趋势 一致， 或确定不存在所述待检测包长序列与所述上下文包长序权　利　要　求　书 1/2 页 2 CN 114221816 A 2列的变化趋势一 致； 在确定不存在所述待检测包长序列与所述上下文包长序列的变化趋势一致的情况下， 确定所述待检测流 量数据中不包括所述目标检测报文数据。 7.根据权利要求1所述的方法， 其特征在于， 在所述确定所述待检测流量数据中包括目 标检测报文数据之后， 还 包括： 获取所述待检测包长序列 与所述上 下文包长序列的数据匹配关系； 根据所述数据匹配关系， 在所述待检测包长序列中确定与所述上下文包长序列中的目 标报文包长数据匹配的目标检测包长数据； 将所述目标检测包长数据对应的待检测报文数据确定为所述目标检测报文数据。 8.一种流 量检测装置， 其特 征在于， 包括： 上下文序列获取模块， 用于在目标报文数据的目标会话流量数据中， 获取所述目标报 文数据的上 下文包长序列； 待检测序列获取模块， 用于在待检测流 量数据中获取待检测包长序列； 报文数据确定模块， 用于在确定所述待检测包长序列与 所述上下文包长序列的变化趋 势一致的情况 下， 确定所述待检测流 量数据中包括目标检测报文数据。 9.一种计算机设备， 其特 征在于， 所述计算机设备包括： 一个或多个处 理器； 存储装置， 用于存 储一个或多个程序； 当所述一个或多个程序被所述一个或多个处理器执行， 使得所述一个或多个处理器实 现如权利要求1 ‑7中任一所述的流 量检测方法。 10.一种计算机存储介质， 其上存储有计算机程序， 其特征在于， 该程序被处理器执行 时实现如权利要求1 ‑7中任一所述的流 量检测方法。权　利　要　求　书 2/2 页 3 CN 114221816 A 3