(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111635844.X (22)申请日 2021.12.3 0 (65)同一申请的已公布的文献号 申请公布号 CN 114006771 A (43)申请公布日 2022.02.01 (73)专利权人 北京微步在线科技有限公司 地址 100082 北京市海淀区苏州街 49-3号3 层301室 (72)发明人 贾明媚　赵林林　童兆丰　薛锋　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 于彬 (51)Int.Cl. H04L 9/40(2022.01)(56)对比文件 CN 101631026 A,2010.01.20 US 2015067848 A1,2015.0 3.05 CN 106657025 A,2017.0 5.10 CN 10727 7039 A,2017.10.20 审查员 寇利敏 (54)发明名称 一种流量检测方法及装置 (57)摘要 本申请实施例提供一种流量检测方法及装 置， 涉及网络安全技术领域， 该流量检测方法包 括： 先获取待检测流量； 并依据预先配置的流量 过滤名单对待检测流量进行过滤处理， 得到第一 处理流量和黑名单流量； 然后依据预设的流量规 则对第一处理流量进行网络攻击检测处理， 得到 未检测出存在攻击的第二处理流量和存在攻击 的流量； 再依据预设的云端情报数据库对第二处 理流量进行碰撞比对， 得到产生告警的第三处理 流量； 最后获取黑名单流量、 第三处理流量以及 存在攻击的流量的攻击团伙地址信息， 并对攻击 团伙地址信息对应的流量进行阻断处理。 可见， 该方法能够在检测到网络攻击时， 及时对发现的 网络攻击主机及其团伙进行实时阻断， 从而维护 网络安全。 权利要求书2页 说明书8页 附图2页 CN 114006771 B 2022.03.29 CN 114006771 B 1.一种流 量检测方法， 其特 征在于， 包括： 获取待检测流 量； 依据预先配置的流量过滤名单对所述待检测流量进行过滤处理， 得到第 一处理流量和 黑名单流 量； 依据预设的流量规则对所述第 一处理流量进行网络攻击检测处理， 得到未检测出存在 攻击的第二处 理流量和存在攻击的流 量； 依据预设的云端情报数据库对所述第 二处理流量进行碰撞比对， 得到产生告警的第 三 处理流量； 获取所述黑名单流量、 所述第 三处理流量以及所述存在攻击的流量的攻击团伙地址信 息， 并对所述 攻击团伙 地址信息对应的流 量进行阻断处 理； 所述依据 预设的流量规则对所述第 一处理流量进行网络攻击检测处理， 得到未检测出 存在攻击的第二处 理流量和存在攻击的流 量， 包括： 依据预设的流量规则对所述第一处理流量进行网络攻击检测处理， 得到攻击检测结 果； 根据所述攻击检测结果确定所述第一处理流量中检测出存在攻击的流量和未检测出 存在攻击的第二处理流量， 并执行所述的依据预设的云端情报数据库对所述第二处理流量 进行碰撞比对， 得到产生告警的第三处 理流量。 2.根据权利要求1所述的流量检测方法， 其特征在于， 所述依据 预先配置的流量过滤名 单对所述待检测流 量进行过滤处理， 得到第一处 理流量和黑名单流 量， 包括： 依据预先配置的流 量过滤名单确定所述待检测流 量中的黑名单流 量和白名单流 量； 将所述待检测流量中除去所述黑名单流量和所述白名单流量之外的流量， 确定为第 一 处理流量； 对所述白名单流量进行直接放行处理， 并执行所述的依据 预设的流量规则对所述第 一 处理流量进行网络攻击检测处 理， 得到未检测出存在攻击的第二处 理流量。 3.根据权利要求1所述的流量检测方法， 其特征在于， 所述获取所述黑名单流量、 所述 第三处理流量以及所述存在攻击的流 量的攻击团伙 地址信息， 包括： 提取所述黑名单流量、 所述第三处理流量以及所述存在攻击的流量中的攻击地址信 息； 根据所述云端情 报数据库中查询与所述 攻击地址信息相关联的其 他攻击地址信息； 汇总所述 攻击地址信息和所述 其他攻击地址信息得到攻击团伙 地址信息 。 4.根据权利要求1所述的流量检测方法， 其特征在于， 对所述攻击团伙地址信 息对应的 流量进行阻断处 理， 包括： 获取阻断处 理配置信息， 所述阻断处 理配置信息 至少包括阻断方式和阻断时间； 当所述阻断方式为旁路阻断时， 获取阻断数据包， 并在所述阻断时间内根据所述攻击 团伙地址信息持续发送所述阻断数据包至攻击端， 以切断与所述 攻击端的通信连接； 当所述阻断方式为联动阻断时， 将所述攻击团伙地址信息配置到联动的防火墙设备 中， 以使所述防火墙设备对所述 攻击团伙 地址信息对应的流 量进行阻断处 理。 5.一种流 量检测装置， 其特 征在于， 所述 流量检测装置包括： 流量获取单元， 用于获取待检测流 量；权　利　要　求　书 1/2 页 2 CN 114006771 B 2第一处理单元， 用于依据预先配置的流量过滤名单对所述待检测流量进行过滤处理， 得到第一处 理流量和黑名单流 量； 第二处理单元， 用于依据预设的流量规则对所述第一处理流量进行网络攻击检测处 理， 得到未检测出存在攻击的第二处 理流量和存在攻击的流 量； 第三处理单元， 用于依据预设的云端情报数据库对所述第二处理流量进行碰撞比对， 得到产生告警的第三处 理流量； 团伙信息获取单元， 用于获取所述黑名单流量、 所述第三处理流量以及所述存在攻击 的流量的攻击团伙 地址信息； 阻断单元， 用于对所述 攻击团伙 地址信息对应的流 量进行阻断处 理； 所述第二处 理单元， 包括： 攻击检测子单元， 用于依据 预设的流量规则对所述第 一处理流量进行网络攻击检测处 理， 得到攻击检测结果； 第三确定子单元， 用于根据 所述攻击检测结果确定所述第 一处理流量中检测出存在攻 击的流量和未检测出存在攻击的第二处理流量， 并触发第三处理单元执行所述的依据预设 的云端情 报数据库对所述第二处 理流量进行碰撞比对， 得到产生告警的第三处 理流量。 6.根据权利要求5所述的流 量检测装置， 其特 征在于， 所述第一处 理单元包括： 第一确定子单元， 用于依据 预先配置的流量过滤名单确定所述待检测流量中的黑名单 流量和白名单流 量； 第二确定子单元， 用于将所述待检测流量中除去所述黑名单流量和所述白名单流量之 外的流量， 确定为第一处 理流量； 放行子单元， 用于对所述 白名单流量进行直接放行处理， 并触发所述第二处理单元执 行所述的依据预设的流量规则对所述第一处理流量进 行网络攻击检测处理， 得到未检测出 存在攻击的第二处 理流量。 7.一种电子设备， 其特征在于， 所述电子设备包括存储器以及处理器， 所述存储器用于 存储计算机程序， 所述处理器运行所述计算机程序以使 所述电子 设备执行权利要求 1至4中 任一项所述的流 量检测方法。 8.一种可读存储介质， 其特征在于， 所述可读存储介质中存储有计算机程序指令， 所述 计算机程序指令被一处理器读取并运行时， 执行权利要求1至4任一项所述的流量检测方 法。权　利　要　求　书 2/2 页 3 CN 114006771 B 3