(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211103589.9 (22)申请日 2022.09.09 (71)申请人 绿盟科技 集团股份有限公司 地址 100089 北京市海淀区北洼路4 号益泰 大厦5层 申请人 北京神州绿盟科技有限公司 (72)发明人 孔尧　鄢柯　陈彬　程俊生　 李红艳　肖根胜　 (74)专利代理 机构 北京同达信恒知识产权代理 有限公司 1 1291 专利代理师 卢志娟 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种流量存储的方法、 装置及电子设备 (57)摘要 本申请涉及一种流量存储的方法、 装置及电 子设备， 用于解决现有技术在发生恶意网络事件 时， 无法基于日志获取到更为详细的攻击路径的 问题。 该方法包括获取终端侧的流量数据， 将在 指定时段内具有相同的第一五元组信息的流量 数据还原为第一会话组， 并确定第一会话组的第 一标识， 然后基于第一五元组信息， 生成第一会 话组对应的流量数据的第一日志， 建立第一日志 与第一标识的关联， 并将与第一标识关联的第一 日志保存到第一存储空间中。 基于上述方法可以 实现日志与会话组的关联存储， 进而实现对终端 侧的全流量的存储， 另外在发现恶意网络事件 时， 能够基于日志关联的标识， 获取到相应会话 组， 有助于安全专家基于相应会话组复现出恶意 网络事件。 权利要求书2页 说明书10页 附图4页 CN 115484089 A 2022.12.16 CN 115484089 A 1.一种流 量存储的方法， 其特 征在于， 所述方法包括： 获取流量数据， 将在指定时段内具有第一五元组信息的流量数据还原为第一会话组， 并确定所述第一会话组的第一标识； 基于所述第一五元组信息， 生成所述第一会话组对应的流 量数据的第一日志； 关联所述第 一日志与 所述第一标识， 将与 所述第一标识关联的第 一日志保存到第 一存 储空间中。 2.如权利要求1所述的方法， 其特 征在于， 所述获取流 量数据， 包括： 通过代理终端采集终端网卡的流 量； 从所述终端网卡的流量中过滤满足预设条件的流量， 获取流量数据； 其中， 所述预设条 件包括： 具有与指定主机相同的端口、 具有与指定协议相同的协议。 3.如权利要求1所述的方法， 其特征在于， 所述将在指定时段内具有第 一五元组信 息的 流量数据还原为第一会话组， 并确定所述第一会话组的第一标识， 包括： 解析所述流量数据中每一条 数据帧， 得到所述每一条 数据帧的五元组信息； 按照数据帧头的时间戳， 对指定时段内具有第一五元组信息的数据帧进行归并， 得到 第一会话组； 将所述第一会话组中最 早一帧数据帧的时间戳作为所述第一会话组的开始时间； 基于所述第 一会话组 的第一五元组信 息以及所述第 一会话组的开始时间， 确定所述第 一会话组的第一标识； 其中， 所述第一标识用于唯一标识所述第一会话组。 4.如权利要求1所述的方法， 其特征在于， 在所述确定所述第一会话组的第一标识之 后， 还包括： 将所述第一会话组保存到第 二存储空间中， 并将所述第 一标识作为所述第 一会话组 的 索引保存到所述第二存储空间中； 其中， 所述第一标识用于标识所述第一会话组在所述第 二存储空间的存 储位置。 5.如权利要求1所述的方法， 其特征在于， 所述与所述第 一标识关联的第 一日志， 包括： 所述第一标识、 第一会话组的第一五元组信息以及所述第一会话组的开始时间； 其中， 所述五元组信息包括： 源IP、 源端口、 目的IP、 目的端口以及协议类型。 6.如权利要求1所述的方法， 其特征在于， 在所述将与 所述第一标识关联的第 一日志保 存到第一存 储空间中之后， 还 包括： 响应于检索所述第一日志， 从所述第一存 储空间中获取 所述第一日志； 根据所述第一日志关联的所述第一标识， 获取 所述第一标识对应的所述第一会话组。 7.如权利要求1所述的方法， 其特征在于， 在所述将与 所述第一标识关联的第 一日志保 存到第一存 储空间中之后， 还 包括： 响应于检索包括所述第 一日志的多个日志， 从所述第 一存储空间中获取包括所述第 一 日志的多个日志； 根据所述多个日志各自关联的标识， 获取所述多个日志各自关联的标识各自对应的会 话组， 得到所述多个日志对应的多个会话组； 按照会话组的开始时间， 对所述多个会话组进行排序组合， 得到所述多个日志对应的 一个会话组。 8.一种流 量存储的装置， 其特 征在于， 所述装置包括：权　利　要　求　书 1/2 页 2 CN 115484089 A 2还原模块， 获取流量数据， 并将在指定时段内具有相同五元组信息的流量数据还原为 第一会话组， 并确定所述第一会话组的第一标识； 生成模块， 基于所述第一会话组的五元组信息， 生成所述第一会话组对应的流量数据 的第一日志； 保存模块， 关联所述第一日志与所述第一标识， 将与所述第一标识关联的第一日志保 存到第一存 储空间中。 9.一种电子设备， 其特 征在于， 包括： 存储器， 用于存放计算机程序； 处理器， 用于执行所述存储器上所存放的计算机程序时， 实现权利要求1 ‑7中任一项所 述的方法步骤。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质内存储有计算机 程序， 所述计算机程序被处 理器执行时实现权利要求1 ‑7任一项所述的方法步骤。权　利　要　求　书 2/2 页 3 CN 115484089 A 3