(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111421343.1 (22)申请日 2021.11.26 (71)申请人 中国南方电网有限责任公司 地址 510000 广东省广州市萝岗区科 学城 科翔路11号 (72)发明人 陶文伟　杨俊权　刘映尚　苏扬　 陈刚　吴金宇　张文哲　易思瑶　 (74)专利代理 机构 华进联合专利商标代理有限 公司 44224 代理人 虞凌霄 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/0604(2022.01) (54)发明名称 网络安全数据处理方法、 装置、 计算机设备 和存储介质 (57)摘要 本申请涉及一种网络安全数据处理方法、 装 置、 计算机设备和存储介质。 所述方法通过获取 待处理本地网络安全数据； 根据预设网络安全数 据处理规则对应筛选规则， 对待处理本地网络安 全数据进行筛选， 获取规则匹配数据； 根据预设 网络安全数据处理规则， 确定规则匹配数据对应 的本地网络安全分析数据； 反馈本地网络安全分 析数据对应的告警数据至第三方主站端。 本申请 通过在本地端获取网络安全数据， 而后基于预设 网络安全数据处理规则来对本地的网络安全数 据进行预处理， 得出相应的告警数据后再进行上 传， 本地无需上送大量原始的网络安全数据， 解 决上送带宽占用较多问题， 从而降低主站压力。 权利要求书2页 说明书9页 附图3页 CN 114257417 A 2022.03.29 CN 114257417 A 1.一种网络安全数据处 理方法， 所述方法包括： 获取待处 理本地网络安全数据； 根据预设网络安全数据处理规则对应筛选规则， 对所述待处理本地网络安全数据进行 筛选， 获取规则匹配数据； 根据所述预设网络安全数据处理规则， 确定所述规则匹配数据对应的本地网络安全分 析数据； 反馈所述本地网络安全分析 数据对应的告警数据至第三方主站端。 2.根据权利要求1所述的方法， 其特征在于， 所述根据预设网络安全数据处理规则对应 筛选规则， 对所述待处 理本地网络安全数据进行筛 选， 获取规则匹配数据之后， 还 包括： 剔除所述待处 理本地网络安全数据中的规则匹配数据； 反馈剔除规则匹配数据后的待处 理本地网络安全数据至第三方主站端； 获取第三方主站端反馈的规则更新数据， 所述规则更新数据根据 所述除剔除规则匹配 数据后的待处 理本地网络安全数据， 以及预设威胁情 报数据获取。 3.根据权利要求1所述的方法， 其特征在于， 所述待处理本地网络安全数据包括会话流 量数据以及日志数据， 所述预设 网络安全数据处理规则包括本地日志规则以及本地会话规 则， 所述根据预设网络安全数据 处理规则对应筛选规则， 对所述待处理本地网络安全数据 进行筛选， 获取规则匹配数据包括： 对所述待处 理本地网络安全数据执 行协议树解码操作， 获取解码数据； 当所述解码数据能匹配所述本地日志规则或所述本地会话规则时， 将所述解码数据作 为规则匹配数据。 4.根据权利要求3所述的方法， 其特征在于， 所述预设网络安全数据处理规则包括会话 解析规则以及日志解析规则， 所述根据所述预设网络安全数据 处理规则， 确定所述规则匹 配数据对应的本地网络安全分析 数据包括： 基于所述会话解析规则， 对所述会话流量数据进行解析， 获取第一安全分析数据， 基于 所述日志解析规则， 对所述日志数据进行解析， 获取第二 安全分析 数据； 根据所述第 一安全分析数据以及所述第 二安全分析数据， 确定所述规则匹配数据对应 的本地网络安全分析 数据。 5.根据权利要求4所述的方法， 其特征在于， 所述第 二安全分析数据包括应用层协议的 网络攻击日志数据、 基于传输内容的网络攻击日志数据以及基于操作系统漏洞攻击日志数 据。 6.根据权利要求1所述的方法， 其特征在于， 所述反馈所述本地网络安全分析数据对应 的告警数据至第三方主站端之后， 还 包括： 获取所述第三方主站端根据所述告警数据反馈的网络安全展示数据。 7.一种网络安全数据处 理装置， 其特 征在于， 所述装置包括： 数据获取模块， 用于获取待处 理本地网络安全数据； 数据筛选模块， 用于根据预设网络安全数据处理规则对应筛选规则， 对所述待处理本 地网络安全数据进行筛 选， 获取规则匹配数据； 规则匹配模块， 用于根据所述预设网络安全数据处理规则， 确定所述规则匹配数据对 应的本地网络安全分析 数据；权　利　要　求　书 1/2 页 2 CN 114257417 A 2数据反馈模块， 用于反馈所述本地网络安全分析数据对应的告警数据至第三方主站 端。 8.根据权利要求7所述的方法， 其特征在于， 还包括规则更新模块， 用于： 剔除所述待处 理本地网络安全数据中的规则匹配数据； 反馈剔除规则匹配数据后的待处理本地网络安全 数据至第三方主站端； 获取第三方主站端反馈的规则更新数据， 所述规则更新数据根据所 述除剔除规则匹配数据后的待处 理本地网络安全数据， 以及预设威胁情 报数据获取。 9.一种计算机设备， 包括存储器和处理器， 所述存储器存储有计算机程序， 其特征在 于， 所述处 理器执行所述计算机程序时实现权利要求1至 6中任一项所述方法的步骤。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时实现权利要求1至 6中任一项所述的方法的步骤。权　利　要　求　书 2/2 页 3 CN 114257417 A 3