(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211075580.1 (22)申请日 2022.09.02 (71)申请人 中国工商银行股份有限公司 地址 100140 北京市西城区复兴门内大街 55号 (72)发明人 郑天文　王竟成　李海龙　黄梓锋　 (74)专利代理 机构 中科专利商标代理有限责任 公司 11021 专利代理师 熊文鑫 (51)Int.Cl. G06F 9/50(2006.01) (54)发明名称 数据审计方法、 装置、 系统、 设备、 介质和程 序产品 (57)摘要 本公开提供了一种数据审计方法， 可以应用 于计算机技术领域。 该数据审计方法包括： 在确 保与外部审计 设备处于网络连接状态时， 对应用 程序的数据流量执行采集操作， 得到实时流量数 据； 以及对所述实时流量数据执行转发操作， 转 发所述实时流量数据至外部审计设备， 以使所述 外部审计设备对 所述实时流量数据进行审计， 其 中， 所述采集操作和所述转发操作是基于预先配 置的引流工具 实现的， 所述预先配置的引流工具 是基于内核旁路的协议栈实现引流的。 本公开还 提供了一种数据审计装置、 系统、 设备、 介质和程 序产品。 权利要求书3页 说明书14页 附图6页 CN 115454630 A 2022.12.09 CN 115454630 A 1.一种数据审计方法， 所述方法应用于服 务器， 所述方法包括： 在确保与外部审计设备处于网络连接状态时， 对应用程序的数据流量执行采集操作， 得到实时流 量数据； 以及 对所述实时流量数据执行转发操作， 转发所述实时流量数据至外部审计设备， 以使所 述外部审计设备对所述实时流 量数据进行审计， 其中， 所述采集操作和所述转发操作是基于预先配置的引流工具实现的， 所述预先配 置的引流工具 是基于内核旁路的协议栈实现引流的。 2.根据权利要求1所述的方法， 其中， 所述确保与外部审计设备处于网络连接状态的方 法包括： 判断第一网卡标识号是否成功匹配第 二网卡标识号， 所述第 一网卡标识号和所述第 二 网卡标识号是针对同一所述外部审计设备的网卡标识号， 所述第一网卡标识 号为本地预存 的网卡标识号， 所述第二网卡标识号 为本地实际连接的网卡标识号。 3.根据权利要求1或2所述的方法， 其中， 所述对应用程序的数据流量执行采集操作， 得 到实时流 量数据， 包括： 在检测到接收第 一流量时， 采集所述第一流量， 以得到所述实时流量数据， 所述第一流 量是由外 部客户端发送至所述应用程序的流 量； 以及 在检测到接收第 二流量时， 采集所述第二流量， 以得到所述实时流量数据， 所述第二流 量是由所述应用程序发送至 外部客户端的流 量。 4.根据权利要求1或2所述的方法， 其中， 所述对所述实时流量数据 执行转发操作， 转发 所述实时流 量数据至 外部审计设备， 包括： 分配端口信息和网卡结构体； 以及 基于所述网卡结构体， 通过所述端口信 息将所述实时流量数据转发至所述外部审计设 备。 5.一种数据审计方法， 所述方法应用于 外部审计设备， 所述方法包括： 接收实时流量数据， 所述实时流量数据是基于服务器中预先配置的引流工具执行采集 操作和转发操作得到的， 所述预 先配置的引流工具 是基于内核旁路的协议栈实现引流的； 提取所述实时流 量数据中的流 量特征； 通过所述流量特征对所述实时流 量数据进行分类存 储， 得到临时文件； 以及 对所述临时文件进行解析， 得到解析内容。 6.根据权利要求5所述的方法， 其中， 所述流量特征包括五元组信息和时间信息， 所述 五元组信息包括协议信息， 所述通过所述流量特征对所述实时流 量数据进行分类存 储， 得到临时文件， 包括： 基于所述协议信息对所述实时流 量数据分类； 以及 基于所述时间信息， 按照时间顺序对分类后的所述实时流 量数据进行存 储。 7.根据权利要求6所述的方法， 其中， 所述对所述临时文件进行解析， 得到解析内容， 包 括： 基于同一所述协议信息， 将多个所述临时文件进行合并， 得到第一临时文件； 以及 对所述第一临时文件进行解析， 得到所述 解析内容。 8.一种数据审计方法， 包括：权　利　要　求　书 1/3 页 2 CN 115454630 A 2由服务器在确保与外部审计设备处于网络连接状态时， 对应用程序的数据流量执行采 集操作， 得到实时流 量数据； 由所述服务器对所述实时流量数据 执行转发操作， 转发所述实时流量数据至外部审计 设备， 以使所述外部审计设备对所述实时流量数据进行审计， 所述转发操作是按照预先绑 定的网卡标识号进行的； 由所述外 部审计设备提取来自所述 服务器的所述实时流 量数据中的流 量特征； 由所述外部审计设备通过所述流量特征对所述实时流量数据进行分类存储， 得到临时 文件； 以及 由所述外 部审计设备对所述临时文件进行解析， 得到解析内容， 其中， 所述采集操作和所述转发操作是基于预先配置的引流工具实现的， 所述预先配 置的引流工具 是基于内核旁路的协议栈实现引流的。 9.一种数据审计装置， 所述装置应用于服 务器， 所述装置包括： 采集模块， 用于在确保与外部审计设备处于网络连接状态时， 对应用程序的数据流量 执行采集操作， 得到实时流 量数据； 以及 转发模块， 用于对所述实时流量数据执行转发操作， 转发所述实时流量数据至外部审 计设备， 以使所述外 部审计设备对所述实时流 量数据进行审计， 其中， 所述采集操作和所述转发操作是基于预先配置的引流工具实现的， 所述预先配 置的引流工具 是基于内核旁路的协议栈实现引流的。 10.一种数据审计装置， 所述装置应用于 外部审计设备， 所述装置包括： 实时流量数据接收模块， 用于接收实时流量数据， 所述实时流量数据是基于服务器中 预先配置的引流工具执行采集操作和转 发操作得到的， 所述预先配置的引流工具是基于内 核旁路的协议栈实现引流的； 流量特征提取模块， 用于提取 所述实时流 量数据中的流 量特征； 分类存储模块， 用于通过所述流量特征对所述实时流量数据进行分类存储， 得到临时 文件； 以及 解析模块， 用于对所述临时文件进行解析， 得到解析内容。 11.一种数据审计系统， 所述系统包括 服务器和外 部审计设备， 其中， 所述服务器， 被配置在确保与外部审计设备处于网络连接状态时， 对应用程序的数据 流量执行采集操作， 得到实时流 量数据； 所述服务器， 还被配置为对所述实时流量数据执行转发操作， 转发所述实时流量数据 至外部审计设备， 以使所述外部审计设备对所述实时流量数据进行审计， 所述转发操作是 按照预先绑定的网卡标识号进行的； 所述外部审计设备， 被配置为提取来自所述服务器的所述实时流量数据中的流量特 征； 所述外部审计设备， 还被配置为通过所述流量特征对所述实时流量数据进行分类存 储， 得到临时文件； 以及 所述外部审计设备， 还被 配置为对所述临时文件进行解析， 得到解析内容， 其中， 所述采集操作和所述转发操作是基于预先配置的引流工具实现的， 所述预先配权　利　要　求　书 2/3 页 3 CN 115454630 A 3