(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111409419.9 (22)申请日 2021.11.25 (71)申请人 山东科技大 学 地址 271019 山 东省泰安市泰山区岱宗大 街223号 (72)发明人 赵慧奇　范芳　钟广源　杨明　 武莹莹　张蓓　刘高源　张华杰　 (74)专利代理 机构 北京八月瓜知识产权代理有 限公司 1 1543 代理人 窦军雷 (51)Int.Cl. H04L 9/40(2022.01) H04L 47/2483(2022.01) G06F 21/57(2013.01) (54)发明名称 一种数据全流 量漏洞采集方法 (57)摘要 本发明涉及一种数据全流量漏洞采集方法， 更具体的说， 是一种分布式架构基于网络全流量 回溯分析锁定漏洞的方法， 包 括以下步骤： (1)抓 取网络数据包(2)对常用协议进行识别、 解析与 内容还原(3)网络全流量采集与 历史数据回溯分 析(4)数据回溯与数据挖掘； 本发明能够对网络 全流量做到全 方位深度透视分析与回溯， 分析数 据展现到最底层的数据包级， 展现时间精确到微 秒级， 各种网络信息安全问题， APT木马渗透， 黑 客入侵， 僵尸远控等能做到精准分析和快速定 位， 实现漏洞精准锁定 。 权利要求书1页 说明书5页 附图4页 CN 114143058 A 2022.03.04 CN 114143058 A 1.一种数据全流 量漏洞采集方法， 其特 征在于， 依次包括以下步骤： (1)抓取网络数据包 (2)对常用协议进行识别、 解析与内容还原 (3)网络全流 量采集与历史数据回溯分析 (4)数据回溯与数据 挖掘。 2.根据权利要求1所述的数据全流量采集漏洞方法其特征在于： 所述步骤(2)针对网络 中常用的通讯协议， 如HTTP、 FTP、 Telnet、 SMTP/POP3等， 采用快速协议识别引擎CSTRE对这 些常用协议进 行快速识别与统计， 并对其传输内容进 行还原分析。 如针对HTTP的通讯， 可提 取该通讯传输的文件类型(图片文件、 文档文件、 压缩文件等)、 URL、 文件大小、 持续时间等 信息。 同时， 支持对协议的快速解码并可对解码字段进行灵活扩展。 3.根据权利要求1或2所述的数据全流量采集漏洞方法， 其特征在于： 所属步骤(3)采用 回溯分析服务器对网络原始实时采集、 分析以及原始流量完整保存。 同时提供通讯接口与 控制平台进行数据传输， 采用分析控制台提供人机数据 交互， 连接分析服务器进行数据展 示与回溯分析。 回溯分析服务器与分析控制台采用C/S技术架构， 分析服务器实时响应 分析 控制台命令并及时返回响应数据， 需要检测分析指定的目标网络时， 则可通过分析控制台 连接到服务器进行远程数据查看和安全 事件分析。 4.根据权利要求2或3所属的数据全流量采集漏洞方法， 其特征在于： 所述步骤(4)中， 使用网络流量统计， 统计固定时间段内的各种网络指标， 支持对任意网络对象的回溯分析， 支持通过原始数据包对任意时间进行完整回溯， 定位安全事件时间、 源IP、 目的IP、 事件起 因、 事件经过以及事 件造成的影响。 5.根据权利要求2或3所属的数据全流量采集漏洞方法， 其特征在于： 所述步骤(4)中， 数据分析时间精度为纳秒级， 且支持分钟、 小时、 天等多种时间窗口对流量数据进行检索、 挖掘、 提取。权　利　要　求　书 1/1 页 2 CN 114143058 A 2一种数据全流量漏洞采集方 法 技术领域 [0001]本发明涉及网络空间安全技术领域， 尤其涉及一种分布式架构的  数据全流量采 集漏洞方法。 背景技术 [0002]我国的全流量存储分析目前处于起步阶段， 技术手段不够成熟，  在应对当前复杂 的网络安全形势下， 通常是处于亡羊补牢的状态， 究  其原因， 主要是缺 乏对网络安全技术 发展趋势的预测以及相应的网络  全流量分析技术， 不能及时发现异常及可疑的通讯流量， 本方法正式  为了弥补国内流量分析技术的不足而提出， 解决全流量分析寻找漏洞  的问 题， 通过对网络全流量做到全方位深度透视 分析与回溯， 分析数  据展现到最底层的数据包 级， 展现时间精确到微秒级， 各种网络信息  安全问题， APT木马渗透， 黑客入侵， 僵尸远控等 能做到精 准分析和  快速定位， 能够变被动为主动， 不仅能够突破国外主流厂商的垄断，  摆 脱对海外产品的依赖， 而且能够创立国内自主知识产权的全流量分  析核心技术创新与产 品研发， 为网络空间安全工作提供全新的管理模  式。 发明内容 [0003]本发明为了克服上述内容的短板， 提供了一种全新的全流量采集  方法和网络全 流量数据存 储技术并可满足网络攻击有效存 储和攻击 溯源漏洞的需求。 [0004]本发明的全流量漏洞采集方法， 其特别之处在于， 本方法包括了  以下步骤： (1)抓 取网络数据包(2)对常用协议进行识别、 解析与  内容还原(3)网络全流量采集与历史数据 回溯分析(4)数据回溯与  数据挖掘； [0005]在步骤(1)中， 抓取网络数据包。 [0006]在步骤(2)中， 在全流量分析中采用协议识别引擎实时识别、  分析原始网络流量， 协议分析覆盖了绝大多数网络中常见的L2 ‑L7层 主流通信协议， 例如HTTP协议、 IGMP协议、 OSPF协议、 kerberos协  议或工控协议、 非标准协议等， 既而精准对网络中的协议进行解码 和 统计， 并采用TRE协 议识别过滤模块， 可以按需实时过滤流量中的P2P，  视频， 音频， 在线 直播等低价值数据， 只存储高价值流量。 系统提供  HTTP、 DNS、 邮件日志、 数据库日志、 FTP日 志、 远程访问日志、  加密会话日志、 ICMP日志等八类元数据日志， 对网络中常见的web  访 问、 邮件、 IM聊天、 文件传输、 OA、 数据库等互联网行为和内网  行为进行全方位的识别和审 计。 [0007]在步骤(3)中， 采用回溯分析服务器对网络中原始流量进行实  时采集、 分析以及 原始流量完整保存； 采用分析控制台提供人机数据  交互， 用于连接 分析服务器进 行数据展 示与回溯分析， 当成功连接到  回溯分析服务器之后， 可以进 行数据挖掘、 警报分析、 异常通 讯分析、 回溯分析、 数据包分析等各种数据分析操作。 通过控制台可同时连接  到多个分析 服务器进行远程 集中分析。 [0008]在步骤(4)中， 使用网络流量 统计， 统计固定时间段内的各种  网络指标， 提取统计说　明　书 1/5 页 3 CN 114143058 A 3