[发明专利]数据处理方法及装置

说明书

本发明公开了一种数据处理方法及装置。其中，该方法包括：获取预先部署的入侵防御系统中的特征匹配日志，其中，上述特征匹配日志基于对应的特征数据生成；确定与上述特征匹配日志对应的上述特征数据的评分；依据上述评分与预设阈值的比对结果，确定是否删除目标特征库中的上述特征数据。本发明解决了现有技术中通过人工校验特征数据的效率过低，导致误报率较高且特征库的质量较低的技术问题。

技术领域

本发明涉及计算机技术领域，具体而言，涉及一种数据处理方法及装置。

背景技术

随着计算机的广泛应用和网络的不断普及，来自网络内部和外部的危险和犯罪也日益增多。目前流行的攻击程序和有害代码如拒绝服务攻击，分布式拒绝服务攻击，暴力猜解，端口扫描，嗅探，病毒，蠕虫，垃圾邮件，木马等等。此外还存在利用软件的漏洞和缺陷进行的攻击。入侵防御系统深入网络数据内部，查找它所认识的攻击代码特征，过滤有害数据流，丢弃有害数据包，并进行记载，以便事后分析。

入侵防御系统基于特征匹配进行识别，特征数据的提供者通过人工分析攻击流量并提取特征数据，误报现象不可避免。误报率是衡量特征库质量的重要标准，表征着特征数据的准确率。出现误报有可能会影响网络正常业务，同时会产生大量的攻击事件，管理员需要在海量日志数据中寻找真正有价值的攻击内容。

因此，改进特征数据，降低误报率是入侵防御系统应用的核心，而这项工作的基础是对特征数据的质量进行管理。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种数据处理方法及装置，以至少解决现有技术中通过人工校验特征数据的效率过低，导致误报率较高且特征库的质量较低的技术问题。

根据本发明实施例的一个方面，提供了一种数据处理方法，包括：获取预先部署的入侵防御系统中的特征匹配日志，其中，上述特征匹配日志基于对应的特征数据生成；确定与上述特征匹配日志对应的上述特征数据的评分；依据上述评分与预设阈值的比对结果，确定是否删除目标特征库中的上述特征数据。

根据本发明实施例的另一方面，还提供了一种数据处理装置，包括：获取模块，用于获取预先部署的入侵防御系统中的特征匹配日志，其中，上述特征匹配日志基于对应的特征数据生成；第一确定模块，用于确定与上述特征匹配日志对应的上述特征数据的评分；第二确定模块，用于依据上述评分与预设阈值的比对结果，确定是否删除目标特征库中的上述特征数据。

根据本发明实施例的另一方面，还提供了一种存储介质，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行任意一项所述的数据处理方法。

根据本发明实施例的另一方面，还提供了一种处理器，所述处理器用于运行程序，其中，所述程序运行时执行任意一项所述的数据处理方法。

在本发明实施例中，采用对特征数据的质量进行评分，并依据评分对特征数据进行管理的方式，通过获取预先部署的入侵防御系统中的特征匹配日志，其中，上述特征匹配日志基于对应的特征数据生成；确定与上述特征匹配日志对应的上述特征数据的评分；依据上述评分与预设阈值的比对结果，确定是否删除目标特征库中的上述特征数据，达到了降低分析攻击流量的误报率，并提高目标特征库的质量的目的，从而实现了保证网络的正常业务运行的技术效果，进而解决了现有技术中通过人工校验特征数据的效率过低，导致误报率较高且特征库的质量较低的技术问题。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明实施例的一种数据处理方法的流程图；

图2是根据本发明实施例的一种可选的数据处理方法的流程图；