(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111614647.X (22)申请日 2021.12.27 (71)申请人 奇安信科技 集团股份有限公司 地址 100088 北京市西城区新 街口外大街 28号102号楼3层3 32号 申请人 网神信息技 术 （北京） 股份有限公司 (72)发明人 张杨名　齐向东　吴云坤　张献宾　 黄朝文　李佳馨　 (74)专利代理 机构 北京路浩知识产权代理有限 公司 11002 专利代理师 王宇杨 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/069(2022.01) (54)发明名称 一种多源网络安全数据处 理方法及装置 (57)摘要 本发明提供一种多源网络安全数据处理方 法及装置， 方法包括： 获取多个数据源的日志数 据， 并对所述日志数据进行格式解析； 从经过格 式解析的日志数据中抽取涉及攻击行为的数据， 并对所述涉及攻击行为的数据进行格式化处理， 得到第一网络安全数据； 对所述第一网络安全数 据按照预设的查询维度进行分析， 根据分析结果 从所述第一网络安全数据中筛选出第二网络安 全数据； 存储所述第二网络安全数据。 本发明通 过将安全设备产出的多源网络安全数据进行解 析、 汇聚、 存储， 并提供查询服务， 极大地提升了 对于安全设备产出 数据的可利用性及利用率。 权利要求书2页 说明书9页 附图3页 CN 114448672 A 2022.05.06 CN 114448672 A 1.一种多源网络安全数据处 理方法， 其特 征在于， 包括： 获取多个数据源的日志数据， 并对所述日志数据进行格式解析； 从经过格式解析的日志数据中抽取涉及攻击行为的数据， 并对所述涉及攻击行为的数 据进行格式化处 理， 得到第一网络安全数据； 对所述第一网络安全数据按照预设的查询维度进行分析， 根据分析结果从所述第 一网 络安全数据中筛 选出第二网络安全数据； 存储所述第二网络安全数据。 2.根据权利要求1所述的多源 网络安全数据处理方法， 其特征在于， 所述获取多个数据 源的日志数据， 包括： 获取不同类型的多个数据源的打点日志数据， 和/或， 获取同一类型的多个数据源的打点日志数据。 3.根据权利要求1所述的多源 网络安全数据处理方法， 其特征在于， 所述从经过格 式解 析的日志数据中抽取 涉及攻击行为的数据， 包括： 从经过格式解析的日志数据中抽取涉及以下至少一种类型的数据作为涉及攻击行为 的数据： DDoS、 SPAM、 Scanner、 Brute  Force、 Compromised、 Hijacked、 Web  Attacker以及 Attacker。 4.根据权利要求1所述的多源 网络安全数据处理方法， 其特征在于， 所述对所述涉及攻 击行为的数据进行格式化处 理， 得到第一网络安全数据， 包括： 使用协议数据交换格式工具库对所述涉及攻击行为的数据进行编码； 对编码后的数据进行格式校验； 将经过格式校验的数据进行序列化操作， 得到第一网络安全数据。 5.根据权利要求1所述的多源 网络安全数据处理方法， 其特征在于， 所述对所述第 一网 络安全数据按照预设的查询维度进行分析， 根据分析结果从所述第一网络安全数据中筛选 出第二网络安全数据， 包括： 将所述第一网络安全数据写入消息队列； 对所述消息队列进行基于滑窗统计的数据消费处理； 其中， 所述基于滑窗统计的数据 消费处理包括： 对于窗口内的数据按照预设的查询维度进行分析， 筛选出符合所述查询维 度的数据， 得到第二网络安全数据。 6.根据权利要求5所述的多源 网络安全数据处理方法， 其特征在于， 所述查询维度包括 以下类型中的至少一种： IP地址、 攻击类型以及时间范围。 7.根据权利要求1至6任一项所述的多源网络安全数据处理方法， 其特征在于， 在所述 存储所述第二网络安全数据之后， 方法还 包括： 接收用户的查询 请求， 根据 所述查询 请求在预设的查询维度内对所述第 二网络安全数 据进行查询。 8.一种多源网络安全数据处 理装置， 其特 征在于， 包括： 数据采集模块， 用于获取多个数据源的日志数据， 并对所述日志数据进行格式解析； 第一网络安全数据提取模块， 用于从经过格式解析的日志数据中抽取涉及攻击行为的 数据， 并对所述涉及攻击行为的数据进行格式化处 理， 得到第一网络安全数据； 第二网络安全数据提取模块， 用于对所述第 一网络安全数据按照预设的查询维度进行权　利　要　求　书 1/2 页 2 CN 114448672 A 2分析， 根据分析 结果从所述第一网络安全数据中筛 选出第二网络安全数据； 第二网络安全数据存 储模块， 用于存 储所述第二网络安全数据。 9.一种电子设备， 包括存储器、 处理器及存储在所述存储器上并可在所述处理器上运 行的计算机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求1至7任一项所 述多源网络安全数据处 理方法的步骤。 10.一种非暂态计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算 机程序被处理器执行时实现如权利要求1至7任一项所述多源网络安全数据 处理方法的步 骤。 11.一种计算机程序产品， 所述计算机程序产品包括计算机可执行指令， 其特征在于， 所述指令在被执行时用于实现如权利要求1至7任一项所述多源网络安全数据 处理方法的 步骤。权　利　要　求　书 2/2 页 3 CN 114448672 A 3