(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210319531.1 (22)申请日 2022.03.29 (71)申请人 上海众至科技有限公司 地址 201210 上海市浦东 新区中国(上海) 自由贸易试验区芳春路40 0号1幢3层 (72)发明人 徐斌　徐向文　王明博　 (74)专利代理 机构 北京市万慧达律师事务所 11111 专利代理师 劳奕琴 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 流量安全审计方法、 系统、 计算机设备 (57)摘要 本申请涉及一种流量安全审计方法、 系统、 计算机设备。 方法包括实时监测客户端与服务端 之间的流量通信状态， 当客户端向服务端发送加 密请求流量时， 建立虚拟服务端以接收与安全处 理客户端发送的加密请求流量， 建立虚拟客户端 以接收经安全处理后的加密请求流量， 并将经安 全处理后的加密请求流量转发至所述服务端， 当 服务端向客户端发送加密响应流量时， 建立虚拟 客户端以接收与安全处理加密响应流量， 建立虚 拟服务端以接收经安全处理后的加密响应流量， 并将经安全处理后的加密响应流量转发至客户 端， 以实现加密流量可视化， 使得隐藏在加密流 量中的恶意流量攻击行为、 网络入侵行为以及用 户的上网行为 等都可追 踪。 权利要求书2页 说明书9页 附图5页 CN 114679322 A 2022.06.28 CN 114679322 A 1.一种流 量安全审计方法， 其特 征在于， 所述方法包括： 实时监测客户端与服 务端之间的流 量通信状态； 当所述客户端向所述服务端发送加密请求流量 时， 建立虚拟服务端以接收与安全处理 所述客户端发送的加密请求流量， 建立虚拟客户端以接收经安全处理后的所述加密请求流 量， 并将经安全处 理后的所述加密请求 流量转发至所述 服务端； 当所述服务端向所述客户端发送加密 响应流量 时， 建立虚拟客户端以接收与安全处理 所述加密响应流量， 建立虚拟服务端以接 收经安全处理后的加密响应流量， 并将经安全处 理后的所述加密响应流 量转发至所述 客户端。 2.根据权利要求1所述的流量安全审计方法， 其特征在于， 所述客户端与所述服务端之 间的流量通信状态包括： 所述客户端发送加密请求流量至所述服务端； 所述服务端发送加 密响应流 量至所述 客户端。 3.根据权利要求2所述的流量安全审计方法， 其特征在于， 当所述客户端向所述服务端 发送加密请求 流量时， 方法还 包括： 所述虚拟服 务端解密所述 客户端发送的加密请求 流量， 生成第一 解密请求 流量； 基于恶意流量拦截规则， 对存在于所述第一解密请求流量中的恶意流量进行拦截， 生 成第二解密请求 流量； 建立虚拟客户端以接收、 加密所述第二解密请求流量， 并将经加密后的第二解密请求 流量转发至所述 服务端。 4.根据权利要求1或2所述的流量安全审计方法， 其特征在于， 当所述服务端向所述客 户端发送加密响应流 量时， 所述方法还 包括： 所述服务端对应经加密后的第 二解密流量生成加密 响应流量， 建立虚拟客户端以解密 所述加密响应流 量， 生成第一 解密响应流 量； 基于恶意流量拦截规则， 对存在于所述第一解密响应流量中的恶意流量进行拦截， 生 成第二解密响应流 量； 建立虚拟服务端以接收、 加密所述第二解密响应流量， 并将经加密后的第二解密响应 流量转发至所述 客户端。 5.根据权利要求4所述的流量安全审计方法， 其特征在于， 在生成第二解密响应流量 前， 所述方法还 包括： 当所述客户端向所述 服务端发送加密请求 流量时， 获取并存 储所述服务端证书； 当所述虚拟客户端发送第 二解密响应流量至所述虚拟服务端时， 对所述服务端证书进 行重新签名； 将重新签名的服 务端证书发送至所述虚拟服 务端。 6.根据权利要求1或5所述的流量安全审计方法， 其特征在于， 所述客户端与所述服务 端之间采用透明网桥模式； 当所述服务端未响应所述客户端发送的加密请求流量， 和/或， 所述客户端未响应所述 服务端发送的加密响应流 量时， 则将所述透明网桥模式切换为连通状态。 7.根据权利要求3或5所述的流 量安全审计方法， 其特 征在于， 所述方法还 包括： 获取存在于所述第 一解密请求流量和第 一解密响应流量中的恶意流量， 及与 所述恶意 流量对应的恶意 流量拦截行为和恶意 流量拦截结果；权　利　要　求　书 1/2 页 2 CN 114679322 A 2基于恶意流量类别， 将恶意流量、 恶意流量拦截行为及恶意流量拦截结果进行分析存 储。 8.根据权利要求3或5所述的流量安全审计方法， 其特征在于， 所述方法还包括： 获取、 分析所述客户端与所述 服务端之间的流 量， 所述流量包括加密请求 流量和加密响应流 量； 还原所述 流量， 并对应所述 流量生成入侵检测日志和安全日志； 获取基于所述恶意 流量拦截规则对所述 流量进行的恶意 流量拦截操作记录； 基于流量类别， 对应存储所述安全入侵检测日志、 安全日志、 恶意流量拦截操作记录、 还原前的流 量和还原后的流 量， 以实现对流 量的安全审计。 9.一种加密流量安全审计系统， 其特征在于， 所述系统连接于客户端与服务端之间； 所 述系统包括状态监测单 元， 虚拟服 务端和虚拟客户端； 所述状态监测单 元以用于实时监测客户端与服 务端之间的流 量通信状态； 当所述客户端向所述 服务端发送加密请求 流量时， 所述虚拟服 务端， 以用于 接收与安全处 理所述客户端发送的加密请求 流量； 所述虚拟客户端， 以用于接收经安全处理后的所述加密请求流量， 并将经安全处理后 的所述加密请求 流量转发至所述 服务端； 当所述服务端向所述 客户端发送加密响应流 量时， 所述虚拟服务端， 以用于接收经安全处理后的加密响应流量， 并将经安全处理后的所 述加密响应流 量转发至所述 客户端； 所述虚拟客户端， 以用于 接收与安全处 理所述加密响应流 量。 10.一种计算机设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计 算机程序， 其特征在于， 所述处理器执行所述计算机程序时实现权利要求1至8中任一项所 述方法的步骤。权　利　要　求　书 2/2 页 3 CN 114679322 A 3