(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111591578.5 (22)申请日 2021.12.23 (71)申请人 武汉思普崚技术有限公司 地址 430070 湖北省武汉市武汉东湖新 技 术开发区光谷大道308号光谷动力节 能环保科技 企业孵化器 （加速器） 一期 11栋3层01室 (72)发明人 李萌　 (74)专利代理 机构 北京弘权知识产权代理有限 公司 11363 代理人 郭放　许伟群 (51)Int.Cl. H04L 9/40(2022.01) G06F 11/30(2006.01) G06F 9/54(2006.01) (54)发明名称 一种用于网络安全设备的异常慢速流程检 测方法及装置 (57)摘要 本申请公开了一种用于网络安全设备的异 常慢速流程检测方法及装置， 所述方法包括： 通 过从芯片中获取转发进程开始处理报文的时间 点； 根据当前时间点减去转发进程开始处理报文 的时间点， 得到转发进程的消耗时间； 若转发进 程的消耗时间超 过设定值， 则向转发进程发送信 号； 通过转发进程中的信号机制响应所述发送信 号， 得到异常信息， 将所述异常信息写入共享内 存。 本申请可以实现快速、 自动、 精确的收集到秒 级别异常慢速流程， 降低解决问题的时间和人力 成本。 本申请通过快速发现报文转发慢速， 并为 管理员收集产生慢速的相关信息， 以便管理员可 以快速的分析并解决异常， 提高报文转发效率， 保证报文转发的稳定性和客户网络的正常运行。 权利要求书2页 说明书7页 附图2页 CN 114422192 A 2022.04.29 CN 114422192 A 1.一种用于网络安全设备的异常慢速流 程检测方法， 其特 征在于， 所述方法包括： 通过从芯片中获取转发进程 开始处理报文的时间点； 根据当前时间点减去转发进程 开始处理报文的时间点， 得到转发进程的消耗时间； 若转发进程的消耗时间超过设定值， 则向转发进程发送信号； 通过转发进程中的信号机制响应所述发送信号， 得到异常信息， 将所述异常信息写入 共享内存。 2.根据权利要求1所述的一种用于网络安全设备的异常慢速流程检测方法， 其特征在 于， 若所述消耗时间未超过所述设定值， 则间隔预设的毫秒值后， 通过从芯片中获取转 发进 程开始处理报文的时间点。 3.根据权利要求1所述的一种用于网络安全设备的异常慢速流程检测方法， 其特征在 于， 所述转发进程 为未执行完处理报文的转发进程。 4.根据权利要求1所述的一种用于网络安全设备的异常慢速流程检测方法， 其特征在 于， 通过从芯片中获取转发进程 开始处理报文的时间点包括： 从芯片中获取报文并使用CPU  cycle值记录报文开始处理的时间点， 并记录报文内容 指针； 根据所述报文内容指针获取报文内容。 5.根据权利要求1所述的一种用于网络安全设备的异常慢速流程检测方法， 其特征在 于， 若转发进程的消耗时间超过设定值， 则向转发进程发送信号包括： 当从芯片中获取报文的数量超过一半时， 则向转发进程发送信号； 通过转发进程中的信号机制响应所述发送信号， 得到异常信息， 将所述异常信息写入 共享内存。 6.根据权利要求1所述的一种用于网络安全设备的异常慢速流程检测方法， 其特征在 于， 所述异常信息包括： 函数调用栈、 所述报文内容和最 新消耗时间； 根据接收所述发送信号的时间点减去接收所述发送信号后转发进程处理报文的时间 点， 得到所述 最新消耗时间； 所述函数调用栈通过使用backt race处理函数获取。 7.根据权利要求1所述的一种用于网络安全设备的异常慢速流程检测方法， 其特征在 于， 将所述异常信息写入共享内存还包括： 当转 发进程完成所述异常信息写入时， 读取所述 共享内存， 并将所述异常信息写入文件中同时收集设备配置文件、 操作日志、 系统日志， 得 到文件压缩 包。 8.根据权利要求1所述的一种用于网络安全设备的异常慢速流程检测方法， 其特征在 于， 所述设定值设置为1秒至10秒。 9.一种用于网络安全设备的异常慢速流 程检测装置， 其特 征在于， 所述装置包括： 获取模块： 所述获取模块被配置为执行通过从芯片中获取转发进程开始处理报文的时 间点； 检测模块： 所述检测模块被配置为执行根据当前时间点减去转发进程开始处理报文的 时间点， 得到转发进程的消耗时间； 若转发进程的消耗时间超过设定值， 则向转发进程发送信号； 若所述消耗时间未超过 所述设定值， 每间隔预设的毫秒值后， 重新执 行所述获取模块；权　利　要　求　书 1/2 页 2 CN 114422192 A 2转发进程响应模块： 所述转发进程响应模块被配置为执行通过转发进程中的信号机制 响应所述发送信号， 得到异常信息， 将所述异常信息写入 共享内存。 10.根据权利要求9所述的一种用于网络安全设备的异常慢速流程检测装置， 其特征在 于， 所述检测模块包括： 从芯片中获取报文并使用CPU  cycle值记录报文开始处理的时间点， 并记录报文内容 指针； 根据所述报文内容指针获取报文内容。权　利　要　求　书 2/2 页 3 CN 114422192 A 3