(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111322171.2 (22)申请日 2021.11.09 (65)同一申请的已公布的文献号 申请公布号 CN 114024758 A (43)申请公布日 2022.02.08 (73)专利权人 清华大学 地址 100084 北京市海淀区清华大 学 (72)发明人 徐明伟　郭诚　李冠宇　张梦豪　 王士诚　李琦　 (74)专利代理 机构 北京聿宏知识产权代理有限 公司 11372 专利代理师 陈超德　吴昊 (51)Int.Cl. H04L 9/40(2022.01) G06N 20/00(2019.01)(56)对比文件 CN 111641531 A,2020.09.08 WO 2019128938 A1,2019.07.04 审查员 洪娟 (54)发明名称 流量特征提取方法、 系统、 存储介质及电子 设备 (57)摘要 本申请涉及互联网技术领域， 具体涉及一种 流量特征提取方法、 系统、 存储介质及电子设备， 包括： 提取待发送数据包的流量特征， 根据流五 元组确定流量特征在可编程交换机的短缓冲区 中对应的槽位； 将待发送数据包的流量特征添加 到短缓冲区中对应的槽位； 若槽位无法添加待发 送数据包的流量特征， 则将流量特征添加到可编 程交换机中空白的长缓冲区中； 当长缓冲区填满 流量特征时， 将长缓冲区中的流量特征和短缓冲 区对应槽位中的流量特征一并打包发送到行为 检测服务器。 本申请能够在不影 响交换机正常转 发数据包功能的基础上， 以线速对流经的流量进 行特征提取， 并将流量特征转发给行为检测服务 器， 处理速度快、 吞吐量大、 成本低。 权利要求书2页 说明书9页 附图3页 CN 114024758 B 2022.12.23 CN 114024758 B 1.一种流 量特征提取方法， 其特 征在于， 所述方法包括： 提取待发送数据包的五元组信息； 根据所述五元组信息标识流五元组； 提取所述待发送数据包的流量特征， 并根据 所述流五元组确定所述待发送数据包的流 量特征在可编程交换机的短缓冲区中对应的槽位； 将所述待发送数据包的流 量特征添加到所述短缓冲区中对应的槽位； 若所述短缓冲区中对应的槽位无法添加所述待发送数据包的流量特征， 则将所述待发 送数据包的流 量特征添加到可编程交换机中空白的长缓冲区中； 当所述长缓冲区填满流量特征时， 将所述长缓冲区中的流量特征和所述短缓冲区对应 槽位中的流 量特征一并打包发送到行为检测服 务器； 所述将所述待发送数据包的流 量特征添加到所述短缓冲区中对应的槽位， 包括： 判断所述待发送数据包的流量特征在可编程交换机的短缓冲区中对应的槽位中是否 已存在流 量特征； 若所述槽位中已存在流量特征， 则判断所述已存在流量特征的五元组是否与 所述待发 送数据包的流 量特征的五元组相同； 若所述已存在流量特征的五元组与 所述待发送数据包的流量特征的五元组相同， 则将 所述待发送数据包的流 量特征添加到所述已存在流 量特征的后面； 若所述已存在流量特征的五元组与 所述待发送数据包的流量特征的五元组不同， 则将 所述槽位中已存在流量特征踢出， 并发送至行为检测 服务器， 将所述待发送数据包的流量 特征添加到所述槽位中。 2.根据权利要求1所述的方法， 其特征在于， 所述提取待发送数据包的五元组信息， 包 括： 从所述待发送数据包的包头中提取五元组信息 。 3.根据权利要求1所述的方法， 其特征在于， 所述根据所述流五元组确定所述待发送数 据包在可编程交换机的短缓冲区中对应的槽位， 包括： 对所述流五元组进行哈希映射， 确定所述待发送数据包的流量特征在可编 程交换机的 短缓冲区中对应的槽位。 4.根据权利要求1所述的方法， 其特 征在于， 所述 流量特征， 包括： 报文大小和报文时间戳。 5.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括； 当将所述待发送数据包的流量特征添加到所述短缓冲区中对应的槽位 时， 记录当前时 间， 并开始计时； 其中， 所述 开始计时 时重置之前的计时 时间； 当计时时间大于预设时间时， 将所述短缓冲区中对应的槽位中的流量特征发送到行为 检测服务器。 6.根据权利要求5所述的方法， 其特征在于， 若所述短缓冲区对应的槽位存在对应的长 缓冲区， 则所述方法还 包括: 将所述槽位对应的长缓冲区中的流量特征与所述槽位中的流量特征一并打包发送到 行为检测服 务器。 7.一种流 量特征提取系统， 其特 征在于， 所述系统包括：权　利　要　求　书 1/2 页 2 CN 114024758 B 2提取单元， 用于提取待发送数据包的五元组信息； 标识单元， 用于根据所述五元组信息标识流五元组； 确定单元， 用于提取所述待发送数据包的流量特征， 并根据所述流五元组确定所述待 发送数据包的流 量特征在可编程交换机的短缓冲区中对应的槽位； 添加单元， 用于将所述待发送数据包的流量特征添加到所述短缓冲区中对应的槽位； 若所述短缓冲区中对应的槽位无法添加所述待发送数据包的流量特征， 则将所述待发送数 据包的流量特征添加到可编程交换机中空白的长缓冲区中； 所述将所述待发送数据包的流 量特征添加到所述短缓冲区中对应的槽位， 包括： 判断所述待发送数据包的流量特征在可 编程交换机的短缓冲区中对应的槽位中是否已存在流量特征； 若 所述槽位中已存在流量特 征， 则判断所述已存在流量特征的五元组是否与所述待发送数据包的流量特征的五元组相 同； 若所述已存在流量特征 的五元组与所述待发送数据包的流量特征 的五元组相同， 则将 所述待发送数据包的流量特征添加到所述已存在流量特征的后面； 若 所述已存在流量特征 的五元组与所述待发送数据包的流量特征的五元 组不同， 则将所述槽位中已存在流量特征 踢出， 并发送至行为检测服 务器， 将所述待发送数据包的流 量特征添加到所述槽位中； 发送单元， 用于当所述长缓冲区填满流量特征时， 将所述长缓冲区中的流量特征和所 述短缓冲区对应槽位中的流 量特征一并打包发送到行为检测服 务器。 8.根据权利要求7 所述的系统， 其特 征在于， 所述系统还 包括； 超时处理单元， 用于当将所述待发送数据包的流量特征添加到所述短缓冲区中对应的 槽位时， 记录 当前时间， 并开始计时； 其中， 所述开始计时时重置之前的计时时间； 当计时时 间大于预设时间时， 将所述短缓冲区中对应的槽位中的流 量特征发送到行为检测服 务器。 9.一种存储介质， 其特征在于， 该存储介质存储的计算机程序， 可被一个或多个处理器 执行， 可用来实现如权利要求1～6任意 一项所述的流 量特征提取方法。 10.一种电子设备， 其特征在于， 包括存储器和处理器， 所述存储器上存储有计算机程 序， 所述存储器和所述处理器之 间互相通信连接， 该计算机程序被所述处理器执行时， 执行 如权利要求1～6任意 一项所述的流 量特征提取方法。权　利　要　求　书 2/2 页 3 CN 114024758 B 3