(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210288130.4 (22)申请日 2022.03.22 (71)申请人 奇安信科技 集团股份有限公司 地址 100088 北京市西城区新 街口外大街 28号102号楼3层3 32号 申请人 奇安信网神信息技 术 （北京） 股份有 限公司 (72)发明人 朱和文　杨科　 (74)专利代理 机构 北京路浩知识产权代理有限 公司 11002 专利代理师 孟省 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/32(2006.01) H04L 9/40(2022.01)H04L 67/02(2022.01) (54)发明名称 流量获取方法、 装置、 电子设备和存 储介质 (57)摘要 本发明提供一种流量获取方法、 装置、 电子 设备和存储介质， 应用于解密设备， 解密设备串 联在客户端和服务器的通信连接之间； 其中方法 包括： 接收客户端发送的原始通信数据； 对原始 通信数据进行解密， 得到解密后的流量数据； 基 于流量数据生成流量日志文件； 将流量日志文件 转化为流量数据包； 将流量数据包发送至流量检 测设备。 本发明提供的流量获取方法、 装置、 电子 设备和存储介质， 将流量日志文件转化为流量数 据包后发送至流量检测设备。 这样， 流量检测设 备获取到的流量数据包为非加密的数据包， 能够 实现对流量数据的检测， 从而提高了流量检测设 备对网站的防护。 权利要求书2页 说明书13页 附图8页 CN 114679265 A 2022.06.28 CN 114679265 A 1.一种流量获取方法， 其特征在于， 应用于解密设备， 所述解密 设备串联在客户端和服 务器的通信连接之间； 所述方法包括： 接收所述客户端发送的原始通信数据； 其中， 所述原始通信数据为所述客户端通过所 述解密设备向所述服务器转 发的数据， 或者所述服务器通过所述解密设备向所述客户端返 回的数据； 对所述原 始通信数据进行解密， 得到解密后的流 量数据； 基于所述 流量数据生成流 量日志文件； 将所述流量日志文件转 化为流量数据包； 将所述流量数据包发送至流 量检测设备。 2.根据权利 要求1所述的流量获取方法， 其特征在于， 所述解密设备包括Envoy架构， 所 述Envoy架构配置有监听模块； 所述接收所述 客户端发送的原 始通信数据， 包括： 通过所述监听模块接收所述 客户端发送的所述原 始通信数据。 3.根据权利要求2所述的流量获取方法， 其特征在于， 所述Envoy架构还配置有日志生 成模块和集群管理模块； 所述原始 通信数据为所述客户端依次通过所述监听模块和所述集 群管理器后向所述 服务器转发的数据； 所述基于所述 流量数据生成流 量日志文件， 包括： 通过所述日志生成模块按照预设格式将所述 流量数据生成所述 流量日志文件。 4.根据权利要求3所述的流量获取方法， 其特征在于， 所述解密 设备还包括流量构造模 块； 所述流量构 造模块包括依次连接的文件监控子模块、 解码子模块、 数据包构 造子模块和 发送子模块； 所述将所述 流量日志文件转 化为流量数据包， 包括： 通过所述文件监控子模块监控所述流量日志文件， 并将所述流量日志文件存储在文件 队列中； 通过所述解码子模块从所述文件队列中获取所述流量日志文件， 根据 所述预设格 式将 所述流量日志文件进行解析， 并将解析 得到的结构化数据发送至所述数据包构造 子模块； 通过所述数据包构造 子模块基于所述结构化数据构造所述 流量数据包； 所述将所述 流量数据包发送至流 量检测设备， 包括： 通过所述发送子模块从数据包队列中获取所述流量数据包， 并将所述流量数据包发送 至所述流量检测设备。 5.根据权利要求4所述的流量获取方法， 其特征在于， 所述解码子模块包括文件监控子 模块和解析子模块； 所述通过所述解码子模块从所述文件队列中获取所述流量日志文件， 根据所述预设格 式将所述流量日志文件进 行解析， 并将解析得到的结构化数据发送至所述数据包构造子模 块， 包括： 通过所述文件监控子模块对所述文件队列进行监控， 在监控到所述文件队列中写入所 述流量日志文件时， 获取所述流量日志文件， 并将所述流量日志文件发送至所述解析子模 块； 通过所述解析子模块根据所述预设格式对所述流量日志文件进行解析， 并将解析得到权　利　要　求　书 1/2 页 2 CN 114679265 A 2的结构化数据发送至所述数据包构造 子模块。 6.根据权利要求4所述的流量获取方法， 其特征在于， 所述通过所述数据包构造子模块 基于所述结构化数据构造所述 流量数据包， 包括： 通过所述数据包构造子模块基于网卡的最大传输单元和滑动 窗口将所述结构化数据 进行切割； 基于切割后的通信数据构造所述 流量数据包。 7.根据权利要求6所述的流量获取方法， 其特征在于， 所述基于切割后的通信数据构造 所述流量数据包， 包括： 将所述切割后的通信数据填充到第一用户数据字段中， 并构造第一以太网头部、 第一 IP头部和第一TCP头 部， 得到TCP流 量数据包。 8.根据权利要求6所述的流量获取方法， 其特征在于， 所述基于切割后的通信数据构造 所述流量数据包， 包括： 将所述切割后的通信数据填充到第二用户数据字段中， 并构造第二以太网头部、 第二 IP头部、 GRE头部、 第三IP头部和第二TCP头 部， 得到GRE流 量数据包。 9.一种流量获取装置， 其特征在于， 应用于解密设备， 所述解密 设备串联在客户端和服 务器的通信连接之间； 包括： 接收单元， 用于接收所述客户端发送的原始通信数据； 其中， 所述原始通信数据为所述 客户端通过所述解密设备向所述服务器转发的数据， 或者所述服务器通过所述解密设备向 所述客户端返回的数据； 解密单元， 用于对所述原 始通信数据进行解密， 得到解密后的流 量数据； 生成单元， 用于基于所述 流量数据生成流 量日志文件； 转化单元， 用于将所述 流量日志文件转 化为流量数据包； 发送单元， 用于将所述 流量数据包发送至流 量检测设备。 10.一种电子设备， 包括存储器、 处理器及存储在所述存储器上并可在所述处理器上运 行的计算机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求1至8任一项所 述流量获取方法的步骤。 11.一种非暂态计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算 机程序被处 理器执行时实现如权利要求1至8任一项所述 流量获取方法的步骤。 12.一种计算机程序产品， 包括计算机程序， 其特征在于， 所述计算机程序被处理器执 行时实现如权利要求1至8任一项所述 流量获取方法的步骤。权　利　要　求　书 2/2 页 3 CN 114679265 A 3