(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211457917.5 (22)申请日 2022.11.21 (71)申请人 北京长亭未来科技有限公司 地址 100024 北京市海淀区学清路768创意 产业园D座0 5 (72)发明人 王旭东　乔兴江　张豪越　 (74)专利代理 机构 深圳睿臻知识产权代理事务 所(普通合伙) 44684 专利代理师 张海燕 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/56(2022.01) H04L 67/02(2022.01) H04L 67/141(2022.01) H04L 67/01(2022.01) (54)发明名称 一种流量采集及阻断方法、 系统、 设备及存 储介质 (57)摘要 本发明实施例公开了一种流量采集及阻断 方法、 系统、 设备及存储介质， 通过代理端安装于 业务服务器的用户态程序中， 利用用户态程序编 译eBPF程序并将编译后的eBPF程序加载至务服 务器的内核态程序， 由内核态程序将eBPF程序附 加到指定的用户代码路径中， 基于eBPF探针监听 会话读取事件/会话写入事件， 获取客户端随机 数和主密钥/会话密钥， 对加密流量数据进行解 密； 通过对流量数据还原进行阻断检测， 以对恶 意请求或响应对象实现阻断。 本申请实施例无需 对业务服务器进行逻辑修改， 同时能实现流量镜 像解密服 务可解密TLS  ECDH类流量。 权利要求书3页 说明书9页 附图4页 CN 115514583 A 2022.12.23 CN 115514583 A 1.一种流量采集及阻断方法， 其特征在于， 所述方法应用于代理端， 所述代理端安装于 业务服务器的用户态程序中， 利用所述用户态程序编译eBPF  程序并将编译后的eBPF程序 加载至所述业务服务器的内核态 程序， 由所述内核态程序将所述eBPF程序附加到指 定的用 户代码路径中， 所述方法包括： 在客户端与业 务服务器之间建立TCP连接； 判断会话请求是否为S SL/TLS协议连接请求； 如果会话请求为SSL/TLS协议连接请求， 则在客户端与 业务服务器之间完成SSL/TLS协 议握手， 并建立会话连接； 基于第一eBPF探针监听会话读取事 件/会话写入 事件， 获取第一事 件执行参数； 利用所述第 一事件执行参数作为会话协议类型结构体指针， 得到客户端随机数和主密 钥/会话密钥； 将所述客户端随机数和主密钥/会话密钥发送至透 明网桥/流量镜像解密服务器， 以实 现对加密流 量数据进行解密， 得到待读取/写入的明文流 量数据； 对接收到的明文流 量数据进行还原得到 HTTP请求对象或HT TP响应对象； 将所述HTTP请求对象或所述HTTP响应对象发送至WAF检测服务端进行阻断检测， 以对 恶意请求对象或响应对象实现阻断。 2.根据权利要求1所述的一种流 量采集及阻断方法， 其特 征在于， 所述方法还 包括： 如果会话请求不为SSL/TLS协议连接请求， 基于第二eBPF探针监听会话读取事件/会话 写入事件， 获取第一事件执行参数和 第二事件执行参数， 所述第二事件执行参数为待读取/ 写入的明文流 量数据。 3.根据权利要求1所述的一种流量采集及阻断方法， 其特征在于， 利用所述第 一事件执 行参数作为会话协议类型 结构体指针， 得到客户端随机数和主密钥/会话密钥， 包括： 所述第一事 件执行参数为socket文件描述符； 根据所述会话协议类型结构体指针， 判断当前会话协议版本是否达到预设会话协议版 本； 如果当前会话协议版本未达到预设会话协议版本， 则获取当前会话的客户端随机数和 主密钥； 如果当前会话协议版本达到预设会话协议版本， 则获取当前会话的客户端随机数以及 会话解密参数， 利用会话 解密参数 得到会话密钥。 4.根据权利要求1所述的一种流量采集及阻断方法， 其特征在于， 将所述客户端随机数 和主密钥/会话密钥发送至透明网桥/流量镜像解密服务器， 以实现对加密流量数据进行解 密， 得到待读取/写入的明文流 量数据， 包括： 在透明网桥/流量镜像解密服务器判断是否收到所述客户端随机数和主密钥/会话密 钥； 如果所述透 明网桥/流量镜像解密服务器收到所述客户端随机数和主密钥/会话密钥， 则对加密流 量数据进行解密； 获取当前会话数据包的流 量特征； 根据获取的流量特征判断发送数据 是否是响应的最后 一部分/接收数据 是否是请求的 最后一部分；权　利　要　求　书 1/3 页 2 CN 115514583 A 2如果发送数据不是响应的最后一部分/接收数据不是请求的最后一部分， 则接收下一 流量数据； 如果发送数据是响应的最后一部分/接收数据是请求的最后一部分， 则流量数据采集 完成。 5.根据权利要求1所述的一种流量采集及阻断方法， 其特征在于， 将所述客户端随机数 和主密钥/会话密钥发送至透明网桥/流量镜像解密服务器， 以实现对加密流量数据进行解 密， 得到待读取/写入的明文流 量数据， 还 包括： 如果透明网桥/流量镜像解密服务器未收到所述客户端随机数和主密钥/会话密钥， 则 判断等待时长是否超过 预设时间阈值； 如果等待时长未超过预设时间阈值， 则在所述透明网桥/流量镜像解密服务器继续等 待接收所述 客户端随机数和主密钥/会话密钥； 如果等待时长超过 预设时间阈值， 则直接获取当前会话数据包的流 量特征； 根据获取的流量特征判断发送数据 是否是响应的最后 一部分/接收数据 是否是请求的 最后一部分； 如果发送数据不是响应的最后一部分/接收数据不是请求的最后一部分， 则接收下一 流量数据； 如果发送数据是响应的最后一部分/接收数据是请求的最后一部分， 则流量数据采集 完成。 6.根据权利要求1所述的一种流量采集及阻断方法， 其特征在于， 对接收到的明文流量 数据进行还原得到 HTTP请求对象或HT TP响应对象， 包括： 根据所述第一事 件执行参数， 判断当前会话连接是否属于已知连接； 如果当前会话连接属于已知连接， 则选取已知连接对应的HT TP对象还原程序； 如果当前会话连接不属于已知连接， 则根据会话连接ID为当前会话连接创建一个新的 HTTP对象还原程序； 利用所述HT TP 对象还原程序， 将收到的明文流 量数据暂存； 将暂存的二进制数据按顺序还原成HT TP请求对象或HT TP响应对象。 7.根据权利要求1所述的一种流量采集及阻断方法， 其特征在于， 将所述HTTP请求对象 或所述HT TP响应对象发送至WAF检测服 务端， 以实现阻断检测， 具体包括： 基于所述HTTP请求对象或所述HTTP响应对象， 在WAF检测服务端判断是否需要进行阻 断； 若需要进行阻断， 则向对所述HTTP请求对象或所述HTTP响应对象对应连接发送阻断报 文， 关闭对应连接 。 8.一种流量采集及阻断系统， 其特征在于， 所述系统应用于代理端， 所述代理端安装于 业务服务器的用户态程序中， 利用所述用户态程序编译eBPF  程序并将编译后的eBPF程序 加载至所述业务服务器的内核态 程序， 由所述内核态程序将所述eBPF程序附加到指 定的用 户代码路径中， 所述系统包括： TCP连接模块， 用于在客户端与业 务服务器之间建立TCP连接； 握手模块， 用于判断会话请求是否为SSL/TLS协议连接请求； 如果会话请求为SSL/TLS 协议连接请求， 则在客户端与业 务服务器之间完成S SL/TLS协议握 手， 并建立会话连接；权　利　要　求　书 2/3 页 3 CN 115514583 A 3