[发明专利]特征库数据处理方法及装置

说明书

本发明公开了一种特征库数据处理方法及装置。其中，该方法包括：获取多个数据源的多个不同优先级的数据；将多个数据源的数据按照优先级的高低顺序进行排列，生成特征库，其中，相同优先级的多个数据源的数据，相互交错排列；通过加载特征库的设备的资源，加载特征库。本发明解决了相关技术中的特征库数据在加载时，由于资源有限，容易导致部分优质数据无法加载的情况的技术问题。

技术领域

本发明涉及数据处理领域，具体而言，涉及一种特征库数据处理方法及装置。

背景技术

基于多特征源的特征库生成是当前网络安全设备流行的一种特征库生成方式。特征库生成使用的特征源包括合作商规则、自研规则、第三方公开规则等，网络安全厂商根据自己制定的生成策略生成各类特征库并发布，供网络安全设备下载使用以实现相应的防护功能。

特征库生成主要包括四个步骤：规则获取、规则处理、规则转换和特征库发布。多源特征库生成的目标是：按照统一的优先级定义，选取不同特征源的特征集整合为一个完整的特征库，并期望加载特征库的设备尽可能加载到各个源的高优先级特征集。

对于资源受限的网络安全设备，加载特征库时可能无法加载全量特征库，针对这种情况，一般有两种做法(为方便说明，我们假定当前多个源的规则集均为相同优先级)：1.加载至本机设置的规则上限后截断，图1是现有技术的全量特征库加载方式的示意图，如图1所示，图中阴影部分表示设备加载后由于自身资源不足被截断的特征集部分；2.生成多种规格的特征库，图2是现有技术的多规格特征库加载方式的示意图，如图2所示，网络安全设备可以根据自身资源限制情况选取规格合适的特征库进行加载。

现有的两种多源特征库生成方案分别有以下特点：

生成全量特征库并截断加载的方案特点是：实现简单，特征库发布及维护容易，加载设备与特征库规格低耦合，但对不同资源规格的设备适应性差，可能出现部分源的规则集完全未加载的情况。

生成多规格特征库并选择加载的方案特点是：实现复杂，需要增加额外的规格区分及生成逻辑，特征库发布及维护较繁琐，加载设备与特征库规格高耦合，但对不同资源规格的设备适应性好，可以加载到所有源的高优先级规则集。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种特征库数据处理方法及装置，以至少解决相关技术中的特征库数据在加载时，由于资源有限，容易导致部分优质数据无法加载的情况的技术问题。

根据本发明实施例的一个方面，提供了一种特征库数据处理方法，包括：获取多个数据源的多个不同优先级的数据；将多个数据源的数据按照优先级的高低顺序进行排列，生成特征库，其中，相同优先级的多个数据源的数据，相互交错排列；通过加载所述特征库的设备的资源，加载所述特征库。

可选的，获取多个数据源的多个不同优先级的数据包括：获取多个数据源的数据；通过预设的优先级度量规则，确定所述数据的优先级。

可选的，将多个数据源的数据按照优先级的高低顺序进行排列，生成所述特征库包括：确定所述特征库中的数据存储的步进值；确定多个数据源的权重；根据所述步进值，所述权重和所述优先级，生成所述特征库。

可选的，根据所述步进值，所述权重和所述优先级，生成所述特征库包括：确定同一优先级的多个数据源的数据；根据所述步进值和所述权重，确定多个数据源在一个步进值的数据单元中分别所占的数据量；从同一优先级的多个数据源的数据中，随机选取多个数据源的所述数据量的数据，按照顺序生成所述数据单元；根据多个数据单元生成所述特征库。

可选的，确定所述特征库中的数据存储的步进值包括：确定加载所述特征库的设备的多个不同规格的加载量；选取多个所述加载量的公约数，作为所述步进值。

可选的，所述步进值为多个所述加载量的最大公约数。