(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111498371.3 (22)申请日 2021.12.09 (71)申请人 北京知道创宇信息技 术股份有限公 司 地址 100000 北京市朝阳区阜通 东大街1号 院5号楼1单 元311501室 (72)发明人 周长虹　卢伟　练晓谦　刘欢　 胥帆鸥　李伟晨　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 周春霞 (51)Int.Cl. H04L 67/1095(2022.01) H04L 49/20(2022.01) H04L 9/40(2022.01) (54)发明名称 一种数据处 理方法及系统 (57)摘要 本发明的实施例提供了一种数据处理方法 及系统， 方法包括： 交换机将网口进行镜像， 得到 镜像网口， 交换机为通信流量添加入网标签和出 网标签， 基于镜像网口， 将通信流量复制至旁路 设备， 旁路设备确定第一通信流量的行为信息和 访问信息， 在访问信息不存在危险信息时， 生成 与行为信息对应的特征包， 并将特征包发送至交 换机后再发送至访问端， 在存在危险信息时， 生 成功能特征包， 并发送至访问端， 采用旁路模拟 侵入交换机的主网络部署， 仅需要一个镜像网 口， 从而大大减少部署成本， 在判断访问信息系 中存在危险信息时， 生成与危险信息和行为信息 对应的功能特征包， 从而实现对通信流量进行阻 断、 预警和引流的功能， 从而保证数据传输的安 全性。 权利要求书2页 说明书9页 附图3页 CN 114257604 A 2022.03.29 CN 114257604 A 1.一种数据处理方法， 其特征在于， 应用于数据处理系统， 所述数据处理系统中包括交 换机和旁路设备， 所述交换机与所述旁路设备通信连接， 所述方法包括： 所述交换机将网口进行镜像， 得到 镜像网口； 所述交换机依据标签添加规则， 为通信流量添加入网标签和出网标签， 基于所述镜像 网口， 将所述交换机中完成标签添加后的通信流 量复制至所述旁路设备； 所述旁路设备识别入网标签对应的第一 通信流量； 所述旁路设备确定所述第 一通信流量的行为信 息和访问信 息， 在所述访问信 息不存在 危险信息的情况下， 生成与所述行为信息对应的特征包， 并将所述特征包发送至所述交换 机； 所述交换机将所述特 征包发送至所述第一 通信流量对应的访问端； 所述旁路设备判断所述访问信 息存在危险信 息的情况下， 依据 所述行为信 息和所述危 险信息， 生成功能特征包， 并发送至所述第一通信流量对应的访问端， 其中， 所述功能特征 包包括以下至少之一： 阻断特 征包、 预警特 征包以及引流特 征包。 2.根据权利要求1所述的方法， 其特征在于， 所述交换机依据标签添加规则， 为通信流 量添加入网标签和出网标签的步骤， 包括： 所述交换机在所述通信流量中， 识别包含第一特征的通信流量， 为包含第一特征的通 信流量标记入网标签； 所述交换机在所述通信流量中， 识别包含第二特征的通信流量， 为包含第二特征的通 信流量标记出网标签。 3.根据权利要求1所述的方法， 其特征在于， 所述旁路设备确定所述第 一通信流量的行 为信息的步骤， 包括： 所述旁路设备识别所述第一通信流量中的行为特征， 其中， 所述行为特征包括以下任 意之一： pi ng请求、 TCP请求以及HT TP请求； 所述旁路设备基于所述行为特 征， 确定所述第一 通信流量的行为信息 。 4.根据权利要求1所述的方法， 其特征在于， 所述旁路设备判断所述访问信 息存在危险 信息的情况下， 依据所述行为信息和所述危险信息， 生成功能特征包， 并发送至所述第一通 信流量对应的访问端的步骤， 包括： 在所述旁路设备判断所述第 一通信流量的访问信 息存在危险信 息的情况下， 确定所述 危险信息的比例值； 在所述比例值大于预设阈值的情况下， 所述旁路设备生成与 所述第一通信流量的行为 信息对应的阻断特 征包。 5.根据权利要求 4所述的方法， 其特 征在于， 所述方法还 包括： 所述第一 通信流量对应的访问端接收所述旁路设备发送的阻断特 征包； 所述访问端对所述阻断特 征包进行解析后， 得到访问失败的界面。 6.根据权利要求 4所述的方法， 其特 征在于， 所述方法还 包括： 在所述比例值小于或者等于所述预设阈值的情况下， 所述旁路设备生成与 所述第一通 信流量的行为信息对应的预警特 征包。 7.根据权利要求6所述的方法， 其特 征在于， 所述方法还 包括： 所述旁路设备基于所述预警特 征包， 对所述第一 通信流量对应的访问端 进行监控。权　利　要　求　书 1/2 页 2 CN 114257604 A 28.根据权利要求1所述的方法， 其特征在于， 所述旁路设备判断所述访问信 息存在危险 信息的情况下， 依据所述行为信息和所述危险信息， 生成功能特征包， 并发送至所述第一通 信流量对应的访问端的步骤， 包括： 所述旁路设备判断所述第一 通信流量的访问信息的数量是否大于预设数量； 在所述第一通信流量的访问信 息的数量大于预设数量的情况下， 所述旁路设备生成与 所述第一 通信流量的行为信息对应的引流特 征包； 所述旁路设备基于所述引流特 征包对所述第一 通信流量进行分流处 理。 9.一种数据处理系统， 其特征在于， 包括交换机和旁路设备， 所述交换机与 所述旁路设 备通信连接； 所述交换机， 用于将网口进行镜像， 得到 镜像网口； 所述交换机， 用于依据 标签添加规则， 为通信流量添加入 网标签和出网标签， 基于所述 镜像网口， 将所述交换机中完成标签添加后的通信流 量复制至所述旁路设备； 所述旁路设备， 用于识别入网标签对应的第一 通信流量； 所述旁路设备， 用于确定所述第一通信流量的行为信息和访 问信息， 在所述访 问信息 不存在危险信息的情况下， 基于所述行为信息， 生成与所述行为信息对应的特征包， 并将所 述特征包发送至所述交换机； 所述交换机， 用于将所述特 征包发送至所述第一 通信流量对应的访问端； 所述旁路设备判断所述访问信 息存在危险信 息的情况下， 依据 所述行为信 息和所述危 险信息， 生成功能特征包， 并发送至所述第一通信流量对应的访问端， 其中， 所述功能特征 包包括以下至少之一： 阻断特 征包、 预警特 征包以及引流特 征包。 10.根据权利要求9所述的系统， 其特 征在于， 所述交换机具体用于： 在所述通信流量中， 识别包含第一特征的通信流量， 为包含第一特征的通信流量标记 入网标签； 在所述通信流量中， 识别包含第二特征的通信流量， 为包含第二特征的通信流量标记 出网标签。权　利　要　求　书 2/2 页 3 CN 114257604 A 3