(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111328134.2 (22)申请日 2021.11.10 (71)申请人 中国工商银行股份有限公司 地址 100140 北京市西城区复兴门内大街 55号 (72)发明人 吕博良　张诚　姜城　旷亚和　 (74)专利代理 机构 北京康信知识产权代理有限 责任公司 1 1240 代理人 黄海英 (51)Int.Cl. H04L 9/40(2022.01) G06N 20/00(2019.01) (54)发明名称 网络威胁数据的检测方法、 装置、 存储介质 及电子设备 (57)摘要 本申请公开了一种网络威胁数据的检测方 法、 装置、 存储介质及电子设备， 涉及信息安全技 术领域， 该方法包括： 将待检测的流量数据进行 排序， 得到排序后的流量数据； 对排序后的流量 数据进行特征提取， 得到流量数据的特征； 根据 无监督学习算法对流量数据的特征进行检测， 得 到检测结果； 根据监督学习算法对检测结果进行 识别， 得到识别结果， 其中， 识别结果包括如下至 少之一： 对目标网络漏洞进行攻击的威胁数据、 对网络不存在威胁的数据。 通过本申请， 解决了 相关技术中威胁数据对漏洞进行攻击时检测效 率较低的问题。 权利要求书2页 说明书10页 附图3页 CN 114024761 A 2022.02.08 CN 114024761 A 1.一种网络威胁数据的检测方法， 其特 征在于， 包括： 将待检测的流 量数据进行排序， 得到排序后的流 量数据； 对所述排序后的流 量数据进行 特征提取， 得到流 量数据的特 征； 根据无监 督学习算法对所述 流量数据的特 征进行检测， 得到检测结果； 根据监督学习算法对所述检测结果进行识别， 得到识别结果， 其中， 所述识别结果包括 如下至少之一： 对目标网络漏洞进行攻击的威胁数据、 对网络不存在威胁的数据。 2.根据权利要求1所述的方法， 其特征在于， 在将待检测的流量数据进行排序， 得到排 序后的流 量数据之前， 所述方法还 包括： 获取原始流量数据， 其中， 所述原 始流量数据至少包括多个数据包； 在预设时间内将所述多个数据包按照第一预设数值进行分组， 得到分组后的数据包， 其中， 所述第一预设数值 为所述多个数据包的源地址IP与目的地址IP组合对的数量； 将所述分组后的数据包进行处 理， 得到所述待检测的流 量数据。 3.根据权利要求1所述的方法， 其特征在于， 根据 无监督学习算法对所述流量数据的特 征进行检测， 得到检测结果包括： 根据无监 督学习算法对所述 流量数据的特 征进行离群点的检测， 得到所述检测结果。 4.根据权利要求1所述的方法， 其特征在于， 在根据 无监督学习算法对所述流量数据的 特征进行检测， 得到检测结果之后， 所述方法还 包括： 将所述检测结果进行标记， 得到标记后的检测结果， 其中， 所述检测结果包括如下至少 之一： 第一密度分布类型的流量数据、 第二密度分布类型 的流量数据， 其中， 所述第二密度 分布类型的流 量数据的分布密度大于所述第一密度分布类型的流 量数据的分布密度； 根据所述标记后的检测结果确定所述 威胁数据的检测模型。 5.根据权利要求4所述的方法， 其特征在于， 根据监督学习算法对所述检测结果进行识 别， 得到识别结果包括： 若根据所述检测模型识别出所述检测结果为所述第 一密度分布类型的流量数据， 则确 定所述流量数据为对所述网络不存在威胁的数据； 若根据所述检测模型识别出所述检测结果为所述第 二密度分布类型的流量数据， 则确 定所述流量数据为对目标网络漏洞进行攻击的威胁数据。 6.根据权利要求4所述的方法， 其特征在于， 将所述检测结果进行标记， 得到标记后的 检测结果包括： 在所述流量数据为所述第 一密度分布类型的情况下， 对所述流量数据采用第 二预设数 值进行标记， 得到标记后的检测结果； 在所述流量数据为所述第 二密度分布类型的情况下， 对所述流量数据采用第 三预设数 值进行标记， 得到标记后的检测结果。 7.根据权利要求1所述的方法， 其特征在于， 所述流量数据的特征至少包括： 所述流量 数据的请求数据、 所述流量数据的协 议类型、 所述流量数据的交互频率、 所述流量数据的域 名长度、 所述 流量数据中字符的占比。 8.一种网络威胁数据的检测装置， 其特 征在于， 包括： 第一排序单元， 用于将待检测的流 量数据进行排序， 得到排序后的流 量数据； 第一提取单元， 用于对所述 排序后的流 量数据进行 特征提取， 得到流 量数据的特 征；权　利　要　求　书 1/2 页 2 CN 114024761 A 2第一检测单元， 用于根据无监督学习算法对所述流量数据的特征进行检测， 得到检测 结果； 第一识别单元， 用于根据监督学习算法对所述检测结果进行识别， 得到识别结果， 其 中， 所述识别结果包括如下至少之一： 对目标网络漏洞进行攻击的威胁数据、 对网络不存在 威胁的数据。 9.一种计算机可读存储介质， 其特征在于， 所述存储介质包括存储的程序， 其中， 所述 程序执行权利要求1至7中任意 一项所述的方法。 10.一种电子设备， 其特征在于， 包括： 包括一个或多个处理器和存储器， 所述存储器用 于存储一个或多个程序， 其中， 当所述一个或多个程序被所述一个或多个处理器执行时， 使 得所述一个或多个处 理器实现权利要求1至7中任意 一项所述的网络威胁数据的检测方法。权　利　要　求　书 2/2 页 3 CN 114024761 A 3