(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114143173A(43)申请公布日2022.03.04(21)申请号202210113307.7(22)申请日2022.01.30(71)申请人奇安信科技集团股份有限公司地址100088北京市西城区新街口外大街28号102号楼3层332号(72)发明人常月(74)专利代理机构北京路浩知识产权代理有限公司11002代理人王宇杨(51)Int.Cl.H04L41/0631(2022.01)H04L9/40(2022.01)权利要求书2页说明书10页附图4页(54)发明名称数据处理方法、装置、设备和存储介质(57)摘要本发明实施例提供一种数据处理方法、装置、设备和存储介质。该数据处理方法，包括：获取原始安全数据；对所述原始安全数据进行目标处理，得到威胁数据，所述目标处理用于从所述原始安全数据中筛选出威胁数据；所述威胁数据包括：告警数据和威胁事件数据；所述告警数据包含所述威胁事件数据；根据所述告警数据和威胁事件数据，识别所述原始安全数据中的目标威胁数据。在此过程中，针对大量的原始安全数据，可以通过目标处理，减少数据量，增加数据所包含的信息。在此基础上，相比于从大量的原始安全数据中直接识别目标威胁数据，从经过目标处理后的威胁数据中识别目标威胁数据更加容易，且效率更高。CN114143173ACN114143173A权利要求书1/2页1.一种数据处理方法，其特征在于，包括：获取原始安全数据；对所述原始安全数据进行目标处理，得到威胁数据，所述目标处理用于从所述原始安全数据中筛选出威胁数据；所述威胁数据包括：告警数据和威胁事件数据；所述告警数据包含所述威胁事件数据；根据所述告警数据和威胁事件数据，识别所述原始安全数据中的目标威胁数据。2.根据权利要求1所述的数据处理方法，其特征在于，对所述原始安全数据进行目标处理，得到威胁数据，包括：对所述原始安全数据中具有威胁等级字段的数据进行威胁等级映射处理，得到所述告警数据；所述威胁等级映射处理用于将所述原始安全数据的威胁等级映射为统一的标识；对所述告警数据中具有目标字段的数据进行合并处理，得到所述威胁事件数据；所述目标字段用于表示所述数据为威胁事件数据。3.根据权利要求2所述的数据处理方法，其特征在于，所述对所述原始安全数据中具有威胁等级字段的数据进行威胁等级映射处理之前，还包括以下至少一项：对所述原始安全数据进行格式转换；格式转换处理后数据的格式相同；或，在所述原始安全数据中增加受到威胁的目标对象的信息。4.根据权利要求2或3所述的方法，其特征在于，所述对所述告警数据中具有目标字段的数据进行合并处理之前，还包括：根据所述目标字段对所述告警数据进行降噪处理。5.根据权利要求2或3所述的方法，其特征在于，对所述告警数据中具有目标字段的数据进行合并处理，得到所述威胁事件数据，包括：获取至少一个预设安全规则；根据所述至少一个预设安全规则，将所述告警数据中具有目标字段的数据进行分类，得到至少一类威胁事件数据；针对任一类所述威胁事件数据，将任一类所述威胁事件数据按照预设归并规则进行合并处理。6.根据权利要求5所述的方法，其特征在于，所述预设归并规则包括预设时间范围和预设属性，将任一类所述威胁事件数据按照预设归并规则进行合并处理，包括：将任一类所述威胁事件数据中时间戳处于所述预设时间范围，且包括所述预设属性的威胁事件数据进行合并处理。7.根据权利要求5所述的方法，其特征在于，按照预设归并规则进行合并处理之后，还包括：更新或增加合并后的威胁事件数据的告警字段，得到所述威胁事件数据，所述告警字段包括以下至少一项：威胁等级、属性和处置建议。8.根据权利要求1‑3任一项所述的方法，其特征在于，根据所述告警数据和威胁事件数据，识别所述原始安全数据中的目标威胁数据之后，还包括：获取所述目标威胁数据中包括的受到威胁的相同目标对象的威胁数据。9.一种数据处理装置，用于网络安全态势感知，其特征在于，包括：获取模块，用于获取原始安全数据；2CN114143173A权利要求书2/2页处理模块，用于对所述原始安全数据进行目标处理，得到威胁数据，所述目标处理用于从所述原始安全数据中筛选出威胁数据；所述威胁数据包括：告警数据和威胁事件数据；所述告警数据包含所述威胁事件数据；所述处理模块，还用于根据所述告警数据和威胁事件数据，识别所述原始安全数据中的目标威胁数据。10.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至8任一项所述数据处理方法的步骤。11.一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现如权利要求1至8任一项所述数据处