(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111511738.0 (22)申请日 2021.12.0 6 (71)申请人 湖北天融信网络安全技 术有限公司 地址 430040 湖北省武汉市临 空港经济技 术开发区五环大道6 66号(21) 申请人 北京天融信网络安全技 术有限公司 　 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 柳静　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 杨奇松 (51)Int.Cl. H04L 41/0631(2022.01) H04L 41/14(2022.01)H04L 41/069(2022.01) H04L 9/40(2022.01) (54)发明名称 一种数据预分析方法及装置 (57)摘要 一种数据预分析方法及装置， 包括： 实时获 取流处理模块中数据源主题消息站的目标流数 据； 并对目标流数据进行富化泛化处理， 得到处 理数据； 然后通过预先构建的审计模 型对处理数 据进行审计处理， 得到审计结果； 再根据审计结 果判断处理数据是否包括触发告警的数据； 如果 是， 则将触发告警的数据发送到流处理模块的告 警数据主题消息站； 最后发送包括触发告警的数 据的告警提示信息， 能够实时进行数据预分析并 进行告警反馈， 及时解决侵害网络安全的数据， 从而保证网络数据安全。 权利要求书2页 说明书9页 附图2页 CN 114205215 A 2022.03.18 CN 114205215 A 1.一种数据预分析 方法， 其特 征在于， 包括： 实时获取流处 理模块中数据源主题消息站的目标流数据； 对所述目标流数据进行富 化泛化处 理， 得到处 理数据； 通过预先构建的审计模型对所述处 理数据进行审计处 理， 得到审计结果； 根据所述审计结果判断所述处 理数据是否包括触发告警的数据； 如果是， 则将所述触发告警的数据发送到所述流处理模块的告警数据主题消息站， 并 将所述触发告警的数据存 储至目标 数据库的告警索引中； 发送包括所述触发告警的数据的告警提 示信息。 2.根据权利要求1所述的数据 预分析方法， 其特征在于， 所述实时获取流处理模块中数 据源主题消息站的目标流数据， 包括： 实时获取待处 理的日志数据； 对所述日志数据进行规范化处 理， 得到数据源； 采集所述数据源到流处 理模块的数据源主题消息站， 得到目标流数据。 3.根据权利要求2所述的数据 预分析方法， 其特征在于， 所述对所述日志数据进行规范 化处理， 得到数据源， 包括： 通过第一预设算子将所述日志数据分割成为多条， 得到多条分割数据； 通过第二预设算子对所述多条分割数据分别进行标准化处理， 得到多个标准化分割数 据； 通过第三预设算子将所述多个标准 化分割数据进行合并处 理， 得到合并数据； 通过第四预设算子对所述合并数据进行属性修改配置处理， 得到数据源， 并通过第五 预设算子将所述数据源 存储到预先配置的目标路径下。 4.根据权利要求1所述的数据 预分析方法， 其特征在于， 在所述实时获取流处理模块中 数据源主题消息站的目标流数据之前， 所述方法还 包括： 获取用于动态配置模型的配置参数和模型算子集； 根据所述配置参数生成参数文件； 根据所述参数文件和预设的人工智能算法把所述模型算子集中的各个算子串成一个 工作流， 得到审计模型。 5.根据权利要求1所述的数据 预分析方法， 其特征在于， 在所述发送包括所述触发告警 的数据的告警提 示信息之后， 还 包括： 监听所述告警数据主题消息站是否存在告警数据； 如果是， 则实时读取 所述触发告警的数据； 触发结果反馈机制 将所述触发告警的数据发送到所述流处理模块的特定主体消息站， 以完成对系统的反馈 。 6.一种数据预分析装置， 其特 征在于， 所述数据预分析装置包括： 获取单元， 用于实时获取流处 理模块中数据源主题消息站的目标流数据； 泛化富化处理单元， 用于对所述目标流数据进行富 化泛化处 理， 得到处 理数据； 审计单元， 用于通过预先构建的审计模型对所述处理数据进行审计处理， 得到审计结 果； 判断单元， 用于根据所述审计结果判断所述处 理数据是否包括触发告警的数据；权　利　要　求　书 1/2 页 2 CN 114205215 A 2发送单元， 用于当判断出包括所述触发告警的数据时， 则将所述触发告警的数据发送 到所述流处理模块的告警数据主题消息站， 并将所述触发告警的数据存储至目标数据库的 告警索引中； 以及发送包括所述触发告警的数据的告警提 示信息。 7.根据权利要求6所述的数据预分析装置， 其特 征在于， 所述获取 单元包括： 获取子单 元， 用于实时获取待处 理的日志数据； 规范化子单 元， 用于对所述日志数据进行规范化处 理， 得到数据源； 采集子单元， 用于采集所述数据源到流处理模块的数据源主题消息站， 得到目标流数 据。 8.根据权利要求7 所述的数据预分析装置， 其特 征在于， 所述 规范化子单 元包括： 第一模块， 用于通过第一预设算子将所述日志数据分割成为多条， 得到多条分割数据； 第二模块， 用于通过第二预设算子对所述多条分割数据分别进行标准化处理， 得到多 个标准化分割数据； 第三模块， 用于通过第三预设算子将所述多个标准化分割数据进行合并处理， 得到合 并数据； 第四模块， 用于通过第 四预设算子对所述合并数据进行属性修改配置处理， 得到数据 源， 并通过第五预设算子将所述数据源 存储到预先配置的目标路径下。 9.一种电子设备， 其特征在于， 所述电子设备包括存储器以及处理器， 所述存储器用于 存储计算机程序， 所述处理器运行所述计算机程序以使 所述电子 设备执行权利要求 1至5中 任一项所述的数据预分析 方法。 10.一种可读存储介质， 其特征在于， 所述可读存储介质中存储有计算机程序指令， 所 述计算机程序指 令被一处理器读取并运行时， 执行权利要求 1至5任一项 所述的数据预分析 方法。权　利　要　求　书 2/2 页 3 CN 114205215 A 3