(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211210355.4 (22)申请日 2022.09.30 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融大街31号 (72)发明人 温展鹏　夏锦辉　汪来富　刘东鑫　 刘光　 (74)专利代理 机构 北京律智知识产权代理有限 公司 11438 专利代理师 张旭庆 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 数据处理方法、 装置、 存 储介质及电子设备 (57)摘要 本公开提供一种数据处理方法、 装置、 存储 介质及电子设备； 涉及计算机技术领域。 所述方 法包括： 将目标网络系统内待处理的网络数据分 发至多个威胁检测线程， 所述威胁检测线程至少 包括正则分析线程； 根据所述正则分析线程中各 个正则规则的多维度规则参数计算各个所述正 则规则的规则得分， 并根据所述规则得分确定目 标正则规则； 将所述网络数据与所述目标正则规 则进行匹配， 得到威胁检测结果。 本公开通过计 算各个正则规则的规则得分， 可以优 先调度规则 得分较高的正则规则对数据进行威胁检测， 使 得 在数据量处于高位时也能优先输出高价值的安 全事件， 从而保证数据的处 理效率。 权利要求书2页 说明书13页 附图4页 CN 115529188 A 2022.12.27 CN 115529188 A 1.一种数据处 理方法， 其特 征在于， 包括： 将目标网络系统内待处理的网络数据分发至多个威胁检测线程， 所述威胁检测线程至 少包括正则分析线程； 根据所述正则分析线程中各个正则规则的多维度规则参数计算各个所述正则规则的 规则得分， 并根据所述 规则得分确定目标正则规则； 将所述网络数据与所述目标正则规则进行匹配， 得到威胁 检测结果。 2.根据权利要求1所述的数据处理方法， 其特征在于， 所述多维度规则参数包括规则匹 配信息、 安全漏洞 信息和规则威胁等级； 所述根据所述正则分析线程中各个正则规则的多维度规则参数计算各个所述正则规 则的规则得分， 包括： 根据各个所述 正则规则的所述 规则匹配信息计算各个所述 正则规则的第一分值； 根据各个所述 正则规则的所述 安全漏洞 信息计算各个所述 正则规则的第二分值； 根据预设的各个所述正则规则的所述规则威胁等级计算各个所述正则规则的第三分 值； 对所述第一分值、 所述第二分值和所述第三分值进行加权求和， 得到各个所述正则规 则的所述 规则得分。 3.根据权利要求2所述的数据处理方法， 其特征在于， 所述根据 各个所述正则规则的所 述规则匹配信息计算各个所述 正则规则的第一分值， 包括： 统计各所述正则规则在第一预设周期内的第一命中次数； 统计各所述正则规则在第 二预设周期内的第 二命中次数， 所述第 二预设周期包含多个 所述第一预设周期， 根据所述第一命中次数和所述第二命中次数计算各 所述正则规则的所述第一分值。 4.根据权利要求3所述的数据处理方法， 其特征在于， 所述根据 所述第一命中次数和所 述第二命中次数计算各 所述正则规则的所述第一分值， 包括： 根据所述第二命中次数确定目标命中次数； 当所述第一命中次数小于所述目标命中次数时， 将所述第 一命中次数和所述目标命中 次数进行对数运 算， 并将运 算结果作为各个所述 正则规则的所述第一分值； 当所述第一命中次数大于所述目标命中次数时， 将第 一预设阈值作为各个所述正则规 则的所述第一分值。 5.根据权利要求2所述的数据处理方法， 其特征在于， 所述安全漏洞信 息包括通用漏洞 披露更新时间； 所述根据 各个所述正则规则的所述安全漏洞信 息计算各个所述正则规则的第 二分值， 包括： 统计各所述正则规则在第三预设周期内的第一 通用漏洞披露更新间隔时间； 统计各所述正则规则在第四预设周期内的第 二通用漏洞披露更新间隔时间， 所述第四 预设周期包 含多个所述第三预设周期， 根据所述第一通用漏洞披露更新间隔时间和所述第二通用漏洞披露更新间隔时间计 算各所述正则规则的所述第二分值。 6.根据权利要求5所述的数据处理方法， 其特征在于， 所述根据 所述第一通用漏洞披露权　利　要　求　书 1/2 页 2 CN 115529188 A 2更新间隔时间和所述第二通用漏洞披露更新间隔时间计算各所述正则规则的所述第二分 值， 包括： 根据所述第二 通用漏洞披露更新间隔时间确定目标通用漏洞披露更新时间； 当所述第一通用漏洞披露更新间隔时间大于所述目标通用漏洞披露更新 时间时， 将所 述第一通用漏洞披露更新间隔时间和所述第二通用漏洞披露更新间隔时间进行三角函数 运算， 并将运 算结果作为各个所述 正则规则的所述第二分值； 当所述第一通用漏洞披露更新间隔时间小于所述目标通用漏洞披露更新 时间时， 将第 二预设阈值作为各个所述 正则规则的所述第二分值。 7.根据权利要求1所述的数据处理方法， 其特征在于， 所述将所述网络数据与 所述目标 正则规则进行匹配， 得到威胁 检测结果， 包括： 监控到所述目标网络系统内的当前数据量大于预设数据量阈值， 且所述网络数据与 所 述目标正则规则的匹配时间小于或等于预设时间阈值时， 将所述网络数据与所述目标正则 规则进行匹配， 得到所述 威胁检测结果。 8.根据权利要求7所述的数据处理方法， 其特征在于， 所述将所述网络数据与 所述目标 正则规则进行匹配， 得到威胁 检测结果， 还 包括： 监控到所述目标网络系统内的当前数据量大于预设数据量阈值， 且所述网络数据与 所 述目标正则规则的匹配时间大于所述预设时间阈值时， 将所述网络数据和所述目标正则规 则按照所述目标正则规则的规则得分缓存至有界优先队列中； 监控到所述目标网络系统内的当前数据量小于或等于所述预设数据量阈值 时， 根据所 述规则得分从所述有界优先队列中选取所述网络数据和所述目标正则规则进 行匹配， 得到 所述威胁检测结果。 9.一种数据处 理装置， 其特 征在于， 包括： 数据分发模块， 用于将目标网络系统内待处理的网络数据分发至多个威胁检测线程， 所述威胁检测线程至少包括 正则分析线程； 规则确定模块， 用于根据所述正则分析线程中各个正则规则的多维度规则参数计算各 个所述正则规则的规则得分， 并根据所述 规则得分确定目标正则规则； 规则匹配模块， 用于将所述网络数据与所述目标正则规则进行匹配， 得到威胁检测结 果。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时实现权利要求1 ‑8任一项所述方法。 11.一种电子设备， 其特 征在于， 包括： 处理器； 以及 存储器， 用于存 储所述处 理器的可 执行指令； 其中， 所述处理器配置为经由执行所述可执行指令来执行权利要求1 ‑8任一项所述的 方法。权　利　要　求　书 2/2 页 3 CN 115529188 A 3