CN117596002A - 一种威胁检测规则的推荐方法及相关设备 - Google Patents

Abstract

本申请公开了一种威胁检测规则的推荐方法及相关设备，属于网络安全技术领域。服务器基于网络设备的应用数据向网络设备针对性的推荐威胁检测规则集合。应用数据包括网络设备关联的应用的应用类型和各应用类型所指示的应用的被访问频率和/或被攻击频率，推荐的威胁检测规则集合包括该应用数据中的应用类型适用的威胁检测规则。该方法从应用的维度为网络设备推荐威胁检测规则，使得推荐的威胁检测规则能够适配网络设备或网络设备所服务的网络的应用需求，不仅减少了网络设备维护的威胁检测规则数量，而且减少了网络设备对所感知的流量进行威胁检测时所要执行的匹配工作量，有效的节约了网络设备的存储和处理等资源，提升了网络设备的安全检测性能。

Description

一种威胁检测规则的推荐方法及相关设备

本申请要求于2022年8月11日提交中国国家知识产权局、申请号为202210961928.0、申请名称为“一种威胁检测规则的推荐方法及相关装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及网络安全技术领域，特别是涉及一种威胁检测规则的推荐方法及相关设备。

背景技术

在通信场景中，网络设备通过威胁检测规则发现网络中存在的安全隐患。但是，随着威胁种类的增多，需要网络设备上维护的威胁检测规则日益增多，越来越多的威胁检测规则不仅给网络设备的安全检测性能带来严重的压力，还在攻击层出不穷的网络环境下，受限于网络设备的存储压力而无法给网络设备不断地导入新的威胁检测规则，从而造成网络设备无法有效的防御新型的攻击。

发明内容

基于此，本申请提供了一种威胁检测规则的推荐方法及相关设备，能够基于网络设备的应用数据针对性的为网络设备推荐该网络设备适用的威胁检测规则，网络设备需要维护较少的威胁检测规则即可，提升了网络设备的安全检测性能，还使得导入新的威胁检测规则成为可能，提高了网络的安全性。

第一方面，本申请提供了一种威胁检测规则的推荐方法。该方法可以由服务器执行。服务器例如为物理服务器、云服务器、虚拟机、控制器、网管设备或具备计算能力的网络设备。服务器获取第一网络设备的应用数据，并根据第一网络设备的应用数据，为第一网络设备推荐威胁检测规则集合。该威胁检测规则集合包括应用数据中的应用类型适用的威胁检测规则。该应用数据包括第一网络设备关联的应用的应用类型和各应用类型所指示的应用的被访问频率和/或被攻击频率。

本方案中，应用的被访问频率或应用的被攻击频率体现了其他网络对网络设备所服务的网络中部署的应用的访问需求，或者网络设备所服务的网络对部署于其他网络中的应用的访问需求。因此，基于网络设备关联的各应用的被访问频率和/或被攻击频率为网络设备推荐威胁检测规则，可以从实际的应用需求为网络设备推荐威胁检测规则，使得网络设备维护与该网络设备关联的应用所适用的威胁检测规则，即可实现对网络设备感知的流量的威胁检测。与目前网络设备维护威胁检测规则库中全量的威胁检测规则相比，该方法可以减少网络设备维护的威胁检测规则的数量，并减少网络设备对所感知的流量进行威胁检测时所要执行的匹配工作量。因此，该方法不仅提升了网络设备的安全检测性能，还有效地节约了网络设备的存储和处理等资源，使得导入新的威胁检测规则成为可能，提高了网络的安全性。

其中，威胁检测规则的类型可以包括但不限于：入侵防御系统(intrusionprevention system，IPS)规则、入侵检测系统(intrusion-detection system，IDS)规则、终端上规则引擎或网站应用防火墙(web application firewall，WAF)规则引擎。

在一种可能的实现方式中，服务器接收第一网络设备发送的应用数据。该实现方式中，第一网络设备可以基于告警数据和/或元数据(metadata)，确定第一网络设备的应用数据，并将该第一网络设备的应用数据发送给服务器。如此，每个网络设备自行处理并传输各自的应用数据，降低了服务器推荐威胁检测规则的过程中处理的数据量，提高了服务器威胁检测规则的推荐效率。

在一种可能的实现方式中，服务器接收第一网络设备发送的告警数据和/或metadata，并基于所接收的数据确定第一网络设备的应用数据。作为一个示例，服务器接收第一网络设备发送的告警数据，并基于该告警数据确定应用数据。告警数据用于指示第一网络设备关联的应用被攻击的情况。作为另一个示例，服务器接收第一网络设备发送的元数据，并基于该元数据确定应用数据。元数据用于描述第一网络设备关联的应用的被访问的情况，元数据例如可以基于应用的数据流的报文特征获得。作为又一个示例，服务器接收第一网络设备发送的告警数据和metadata，并基于告警数据和metadata确定应用数据。如此，每个网络设备将metadata和/或告警数据发送给服务器，由服务器对所接收的metadata和/或告警数据进行处理，获得用于推荐威胁检测规则的应用数据。这样，网络设备不需要为威胁检测规则的推荐承担更多的处理工作，使得该威胁检测规则的推荐方法对于网络设备十分友好。

在一种可能的实现方式中，服务器根据第一网络设备的应用数据，确定第一网络设备的第一应用集合，并基于第一应用集合确定威胁检测规则集合。第一应用集合中的应用均为第一网络设备关联的应用。

该实现方式中，服务器基于网络设备的应用数据为网络设备推荐威胁检测规则，使得推荐的威胁检测规则能够针对性地覆盖网络设备的应用需求，减少了网络设备维护的威胁检测规则的数量。这减缓了网络设备的存储压力，也避免了无关威胁检测规则带来的大量的无效或低质告警，减缓了网络设备或分析设备的处理压力，提升了网络设备的安全检测性能。

在一种可能的实现方式中，服务器对多个网络设备的应用数据进行聚类以获取至少一个聚类簇，基于第一聚类簇包括的应用数据获取第一应用集合，并基于第一应用集合确定威胁检测规则集合。该多个网络设备包括第一网络设备。至少一个聚类簇包括第一聚类簇。每个聚类簇包括多个网络设备中的至少一个网络设备的应用数据。该第一聚类簇包括第一网络设备的应用数据。该第一应用集合包括第一聚类簇中的至少一个网络设备的应用数据指示的应用。

在该实现方式中，通过聚类，服务器可以获取第一网络设备所属的第一聚类簇(或者说，第一网络设备服务的对象所属的一个逻辑行业)，继而基于该逻辑行业的应用集合为第一网络设备推荐威胁检测规则集合，使得推荐的威胁检测规则既能针对性地覆盖该第一网络设备的应用需求，又能覆盖该逻辑行业的应用需求，在减少网络设备维护的威胁检测规则的同时，又进一步提升了网络设备的威胁检测性能，进一步提升了网络的安全性。

在一种可能的实现方式中，服务器基于第一网络设备的应用数据和推荐模型，获取第一应用集合，并基于第一应用集合确定威胁检测规则集合。该推荐模型是基于多个网络设备的应用数据训练得到的。

在该实现方式中，服务器可以基于多个网络设备的应用数据预先训练推荐模型。当需要为第一网络设备推荐威胁检测规则时，服务器可以直接基于第一网络设备的应用数据和该推荐模型确定推荐的威胁检测集合。这使得服务器能够快速地为第一网络设备推荐能覆盖第一网络设备所服务的逻辑行业的威胁检测规则，既减少了第一网络设备的存储和处理压力，提升了安全检测的性能，又提高了威胁检测规则的推荐效率。

在一种可能的实现方式中，威胁检测规则库中的威胁检测规则包括该威胁检测规则所适用的应用类型的指示信息，服务器根据威胁检测规则库和第一应用集合，确定威胁检测规则集合。例如，服务器还可以对威胁检测规则库中的威胁检测规则，按照适用的应用类型划分为至少一个映射关系，每个映射关系包括应用和适合该应用的威胁检测规则之间的对应关系。那么，针对第一应用集合中的各个应用，服务器在威胁检测规则库中查找与该应用对应的威胁检测规则，并将查找到的威胁检测规则记录到威胁检测规则集合中。

在一种可能的实现方式中，服务器根据第一网络设备所属的逻辑行业的专有应用增强威胁检测规则集合。例如，服务器先根据至少一个聚类簇或者推荐模型获取第二应用集合，再获取第三应用集合，第三应用集合包括的应用存在于第一应用集合且第三应用集合包括的应用不存在于第二应用集合，再基于第三应用集合更新威胁检测规则库。其中，第二应用集合表征除第一网络设备所属的逻辑行业外，其他任一逻辑行业关联的应用，第三应用集合表征仅第一网络设备所属的逻辑行业关联的应用(即，专有应用)。如此，服务器能够针对该专有应用集合中的专有应用做漏洞覆盖的定向增强。例如，服务器周期性的检测与第三应用集合中任一应用关联的威胁检测规则数据库，以获取威胁检测数据库中更新的威胁检测规则，并基于更新的威胁检测规则更新威胁检测规则库。

第二方面，本申请提供了一种威胁检测规则的推荐方法，该方法可以由服务器执行。服务器例如为物理服务器、云服务器、虚拟机、控制器、网管设备或具备计算能力的网络设备。服务器获取多个网络设备的应用数据，并根据多个网络设备的应用数据，训练推荐模型，该推荐模型用于推荐威胁检测规则。多个网络设备中任一网络设备的应用数据包括该任一网络设备关联的应用的应用类型和各应用类型所指示的应用的被访问频率和/或被攻击频率。

本方案中，服务器可以基于多个网络设备的应用数据训练推荐模型，训练好的推荐模型能够被应用于第一方面提供的方法中，作为服务器基于第一网络设备的应用数据确定威胁检测规则集合的一种可能的实现方式。当需要为第一网络设备推荐威胁检测规则时，服务器可以直接基于第一网络设备的应用数据和该推荐模型确定推荐的威胁检测集合。这使得服务器能够快速地为第一网络设备推荐能覆盖第一网络设备所服务的逻辑行业的威胁检测规则，既减少了第一网络设备的存储和处理压力，提升了安全检测的性能，又提高了威胁检测规则的推荐效率。

在一种可能的实现方式中，服务器接收多个网络设备发送的应用数据。该实现方式中，多个网络设备中的每个网络设备都可以基于自己的告警数据和/或metadata，确定自己的应用数据，并将自己的应用数据发送给服务器。

在一种可能的实现方式中，服务器接收多个网络设备发送的告警数据和/或metadata，并基于所接收的数据确定多个网络设备的应用数据。

第三方面，本申请提供了一种威胁检测规则的推荐方法，该方法可以由网络设备执行。网络设备例如可以指交换机、路由器、虚拟路由设备或虚拟转发设备、防火墙等具有威胁检测功能的通信设备。网络设备发送该网络设备的应用数据，并接收威胁检测规则集合。该威胁检测规则集合是基于网络设备的应用数据确定的，威胁检测规则集合包括应用数据中的应用类型适用的威胁检测规则。该应用数据包括网络设备关联的应用的应用类型和各应用类型所指示的应用的被访问频率和/或被攻击频率。

在一种可能的实现方式中，网络设备获取告警数据，基于该告警数据确定应用数据，并将该应用数据发送给服务器。

在一种可能的实现方式中，网络设备获取metadata，基于该metadata确定应用数据，并将该应用数据发送给服务器。

在一种可能的实现方式中，网络设备获取metadata和告警数据后，基于该metadata和告警数据确定应用数据，并将该应用数据发送给服务器。

在一种可能的实现方式中，网络设备可以基于接收到威胁检测规则集合更新本地维护的威胁检测规则，更新后的本地维护的威胁检测规则包括该威胁检测规则集合中的威胁检测规则。其中，本地维护的威胁检测规则为该网络设备上用于威胁检测的威胁检测规则。

第三方面为第一方面和第二方面提供的方法在网络设备侧对应的方案，具体实现方式以及达到的技术效果，可以参见第一方面和第二方面的相关描述。

第四方面，本申请还提供了一种威胁检测规则的推荐装置，该装置应用于服务器。该装置可以包括第一获取单元和推荐单元。第一获取单元，用于获取第一网络设备的应用数据，所述应用数据包括所述第一网络设备关联的应用的应用类型和各应用类型所指示的应用的被访问频率和/或被攻击频率。推荐单元，用于根据所述第一网络设备的应用数据，向所述第一网络设备推荐威胁检测规则集合，所述威胁检测规则集合包括所述应用数据中的应用类型适用的威胁检测规则。

在一种可能的实现方式中，所述第一获取单元，具体用于：接收所述第一网络设备发送的所述应用数据。

在一种可能的实现方式中，所述第一获取单元，具体用于：接收所述第一网络设备发送的告警数据，并基于所述告警数据确定所述应用数据。所述告警数据用于指示所述第一网络设备关联的应用被攻击的情况。

在一种可能的实现方式中，所述第一获取单元，具体用于：接收所述第一网络设备发送的元数据，基于所述元数据确定所述应用数据。所述元数据用于描述所述第一网络设备关联的应用的被访问的情况。

在一种可能的实现方式中，所述推荐单元可以包括聚类子单元、获取子单元和确定子单元。聚类子单元，用于对多个网络设备的应用数据进行聚类，以获取至少一个聚类簇。每个聚类簇包括所述多个网络设备中的至少一个网络设备的应用数据，所述多个网络设备包括所述第一网络设备。获取子单元，用于基于第一聚类簇包括的应用数据获取第一应用集合。所述第一应用集合包括所述第一聚类簇中的至少一个网络设备的应用数据指示的应用。所述至少一个聚类簇包括所述第一聚类簇。所述第一聚类簇包括所述第一网络设备的应用数据。确定子单元，用于基于所述第一应用集合确定所述威胁检测规则集合。

在一种可能的实现方式中，所述推荐单元可以包括：获取子单元和确定子单元。获取子单元，用于基于所述第一网络设备的应用数据和推荐模型，获取第一应用集合。所述推荐模型是基于多个网络设备的应用数据训练得到的。确定子单元，用于基于所述第一应用集合确定所述威胁检测规则集合。

作为一个示例，所述确定子单元，具体用于：根据威胁检测规则库和所述第一应用集合，确定所述威胁检测规则集合，所述威胁检测规则库中的威胁检测规则包括指示信息，指示信息指示所述威胁检测规则所适用的应用类型。

在一种可能的实现方式中，该装置还可以包括第二获取单元、第三获取单元和更新单元。第二获取单元，用于获取第二应用集合，所述第二应用集合是根据所述至少一个聚类簇获取的，或者，所述第二应用集合是根据所述推荐模型获取的。第三获取单元，用于获取第三应用集合，所述第三应用集合包括的应用存在于所述第一应用集合且所述第三应用集合包括的应用不存在于所述第二应用集合。更新单元，用于基于所述第三应用集合更新所述威胁检测规则库。

作为一个示例，所述更新单元，具体用于：针对所述第三应用集合中的任一应用，周期性的检测与所述任一应用关联的威胁检测规则数据库，以获取所述威胁检测数据库中更新的威胁检测规则，并基于所述更新的威胁检测规则更新所述威胁检测规则库。

第四方面提供的装置与第一方面提供的方法对应，具体实现方式以及达到的技术效果，可以参见第一方面的相关描述。

第五方面，本申请还提供了一种威胁检测规则的推荐装置，该装置可以应用于服务器。该装置可以包括：获取单元和训练单元。获取单元，用于获取多个网络设备的应用数据。任一网络设备的应用数据包括所述任一网络设备关联的应用的应用类型和各应用类型所指示的应用的被访问频率和/或被攻击频率。训练单元，用于根据所述多个网络设备的应用数据，训练推荐模型。所述推荐模型用于推荐威胁检测规则。

第五方面提供的装置与第二方面提供的方法对应，具体实现方式以及达到的技术效果，可以参见第二方面的相关描述。

第六方面，本申请还提供了一种威胁检测规则的推荐装置，该装置应用于网络设备。该装置可以包括发送单元和接收单元。发送单元，用于发送网络设备的应用数据。所述应用数据包括所述网络设备关联的应用的应用类型和各应用类型所指示的应用的被访问频率和/或被攻击频率。接收单元，用于接收威胁检测规则集合。所述威胁检测规则集合为基于所述网络设备的应用数据确定的，所述威胁检测规则集合包括所述应用数据中的应用类型适用的威胁检测规则。

在一种可能的实现方式中，该装置还可以包括获取单元和确定单元。获取单元，用于获取所述网络设备生成的告警数据，所述告警数据用于指示所述网络设备关联的应用被攻击的情况。确定单元，用于基于所述告警数据确定所述应用数据。

在一种可能的实现方式中，该装置还可以包括：获取单元和确定单元。获取单元，用于获取所述网络设备生成的元数据，所述元数据用于描述所述网络设备关联的应用的被访问情况。确定单元，用于基于所述元数据确定所述应用数据。

在一种可能的实现方式中，该装置还可以包括更新单元。更新单元，用于基于所述威胁检测规则集合更新本地维护的威胁检测规则。所述本地维护的威胁检测规则为所述网络设备上用于威胁检测的威胁检测规则。更新后的所述本地维护的威胁检测规则包括所述威胁检测规则集合中的威胁检测规则。

第六方面提供的装置与第三方面提供的方法对应，具体实现方式以及达到的技术效果，可以参见第三方面的相关描述。

第七方面，本申请还提供了一种威胁检测规则的推荐系统。该系统可以包括服务器和至少一个网络设备。服务器，用于执行上述第一方面或第一方面的任意一种可能的实现方式所提供的方法，或者，第二方面或第二方面的任意一种可能的实现方式所提供的方法。至少一个网络设备中的每个网络设备，用于执行上述第三方面或第三方面的任意一种可能的实现方式所提供的方法。

第八方面，本申请还提供了一种计算机设备。所述设备包括处理器和存储器。所述处理器用于执行所述存储器中存储的指令，以使得所述计算机设备执行上述第一方面或第一方面的任意一种可能的实现方式所提供的方法，或者，第二方面或第二方面的任意一种可能的实现方式所提供的方法，或者，第三方面或第三方面的任意一种可能的实现方式所提供的方法。

第九方面，本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质中存储有指令，当其在计算机设备上运行时，使得所述计算机设备执行第一方面或第一方面的任意一种可能的实现方式所提供的方法，或者，第二方面或第二方面的任意一种可能的实现方式所提供的方法，或者，第三方面或第三方面的任意一种可能的实现方式所提供的方法。

第十方面，本申请提供一种计算机程序产品，当所述计算机程序产品在计算机设备上运行时，使得所述计算机设备执行第一方面或第一方面的任意一种可能的实现方式所提供的方法，或者，第二方面或第二方面的任意一种可能的实现方式所提供的方法，或者，第三方面或第三方面的任意一种可能的实现方式所提供的方法。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的一种威胁检测规则的推荐方法100的流程示意图；

图2为本申请实施例提供的一种适用的系统架构的结构示意图；

图3为本申请实施例提供的方法在图1所示的系统架构中的流程示意图；

图4为本申请实施例提供的一种威胁检测规则的推荐装置400的结构示意图；

图5为本申请实施例提供的另一种威胁检测规则的推荐装置500的结构示意图；

图6为本申请实施例提供的又一种威胁检测规则的推荐装置600的结构示意图；

图7为本申请实施例提供的一种通信设备700的结构示意图；

图8为本申请实施例提供的另一种通信设备800的结构示意图；

图9为本申请实施例提供的一种通信系统900的结构示意图。

具体实施方式

为了保障网络安全，用户需要在网络中部署如防火墙等网络设备，网络设备维护威胁检测规则，并使用自身维护的威胁检测规则对接收的流量进行攻击检测。如果所接收的流量与某条威胁检测规则匹配，则网络设备生成相应的告警，以达到安全防御的目的。本申请实施例中，网络设备能够感知网络中的流量，并对所感知到的流量进行威胁检测，所以，该网络设备也可以称为网络流量检测设备或安全设备。

可以理解的是，网络设备通过检测接收的流量的特征是否与自身维护的威胁检测规则匹配，确定是否发生攻击，并且能够在确定发生攻击后基于与流量的特征匹配的威胁检测规则确定攻击的类型。所以，在保证威胁检测规则的质量的前提下，网络设备上维护的威胁检测规则的数量越多，越能够全面的覆盖攻击，增加攻击入侵的成本，减少攻击给用户的业务和数据带来的影响。因此，网络设备通常维护威胁检测库中全量的威胁检测规则。但是，随着网络环境越来越复杂，威胁检测库中的威胁检测规则越来越多，导致网络设备维护的威胁检测规则也越来越多。网络设备进行威胁检测时，需要匹配海量的威胁检测规则，会产生大量无效或低质量的告警，这给网络设备的处理性能和告警信息的分析设备的性能均造成巨大的压力。而且，大量无效或低质量的告警不仅无法给网络安全以指导和保障，还会影响安全运营效率。另外，越来越多的威胁检测规则也给网络设备造成巨大的存储压力，使得网络设备无法再维护更多新的威胁检测规则，从而无法对变幻莫测的新攻击作出及时、有效的防御，这使得网络设备的安全检测性能大打折扣。其中，无效告警指对于流量的安全检测没有意义的告警，也可以称为误报，例如，在工控协议中检测到web漏洞告警。低质量告警指对于下一步的处置动作无法给出指导的告警，例如，海量的扫描探测告警，由于难以关联到恶意行为而无法指导下一步的处置动作。

基于此，本申请实施例提供了一种威胁检测规则的推荐方法。该方法基于网络设备的应用数据向网络设备针对性的推荐威胁检测规则集合。其中，应用数据可以包括但不限于：网络设备关联的应用的应用类型和各应用类型所指示的应用的被访问频率和/或被攻击频率。推荐的威胁检测规则集合包括该应用数据中的应用类型适用的威胁检测规则。网络设备关联的应用可以基于网络设备感知的流量确定。网络设备感知的流量例如为网络设备转发的流量。网络设备转发的流量例如为由该网络设备所服务的网络发往其他网络并经由该网络设备转发的流量，或者为其他网络发往该网络设备服务的网络并经由该网络设备转发的流量。网络设备关联的应用也可以基于网络设备检测到的攻击(例如，告警数据)确定。告警数据可以为网络设备基于检测规则对网络设备感知的流量进行威胁检测产生的。例如，可以基于触发告警数据产生的检测规则关联的应用类型确定网络设备关联的应用。应用的被访问频率或应用的被攻击频率体现了其他网络对网络设备所服务的网络中部署的应用的访问需求，或者网络设备所服务的网络对部署于其他网络中的应用的访问需求。因此，基于网络设备关联的各应用的被访问频率和/或被攻击频率为网络设备推荐威胁检测规则，可以从实际的应用需求为网络设备推荐威胁检测规则，使得网络设备维护与该网络设备关联的应用所适用的威胁检测规则，即可实现对网络设备感知的流量的威胁检测。与目前网络设备维护威胁检测规则库中全量的威胁检测规则相比，该方法减少了网络设备维护的威胁检测规则的数量，也减少了网络设备对所感知的流量进行威胁检测时所要执行的匹配工作量，有效的节约了网络设备的存储、处理等资源。

此外，本申请实施例中，由于网络设备需要维护的威胁检测规则较少，所以，当根据新型的攻击获得新的威胁检测规则时，网络设备能够根据需求维护该新的威胁检测规则，以防御新型的攻击，提高网络设备的安全检测性能。另一方面，网络设备维护的威胁检测规则中包括与自己关联的应用所适用的威胁检测规则，能够避免在威胁检测过程中出现大量无效或低质量的告警，提高了告警质量，提高了安全运营效率，从而更好的保障了网络的安全性。

本申请实施例提供的技术方案适用于数据中心网络(Data Center Network，DCN)、园区网络等多种数据通信场景，该场景中可以包括多个网络设备和一个服务器，该服务器用于基于网络设备的应用数据为网络设备推荐威胁检测规则。

本申请实施例中，网络设备可以指安全设备，如，防火墙，下一代防火墙(Next-Generation Firewall，NGFW)。或者，网络设备也可以指交换机、路由器、虚拟路由设备或虚拟转发设备等具有威胁检测功能的通信设备。网络设备能够感知应用发送或接收的流量，所以，网络设备也可以称为网络流量检测设备。

本申请实施例中，服务器可以指具有本申请实施例提供的威胁检测规则的推荐功能的分析装置。该分析装置可以是一台独立的服务器。或者，该分析装置也可以是由若干台服务器组成的服务器集群。或者，该分析装置还可以是一个云计算服务中心。或者，该分析装置还可以是虚拟机或容器。该服务器也可以为网络控制器、网络分析器、网管设备或集成到上述设备中的分析模块。该服务器也可以是一台具备计算能力的网络设备。

下面结合附图对本申请实施例提供的方法进行说明。

图1为本申请实施例提供的一种威胁检测规则的推荐方法100的流程示意图。本申请实施例中，以第一网络设备和服务器交互的方式描述该方法100。如图1所示，该方法100例如可以包括下述S101～S103。

S101，服务器获取第一网络设备的应用数据，所述应用数据包括第一网络设备关联的应用的应用类型和各应用类型所指示的应用的被访问频率和/或被攻击频率。

其中，应用的流量通过第一网络设备时，第一网络设备感知到该应用的流量，那么，该应用即可理解为第一网络设备关联的应用。应用也可以称为服务。一种情况下，应用可以指用户终端上安装的应用程序，例如，可以为某一视频应用，某一购物应用，或某一办公应用(如Microsoft Word、AdobeAcrobat Reader等)。另一种情况下，应用可以为指服务端上提供的服务，例如，应用可以指服务端为用户终端上某个或某些应用提供的相应服务(如域名解析服务)。

第一网络设备的应用数据可以包括：第一网络设备关联的应用的应用类型、以及各应用类型所指示的应用的被访问频率和/或被攻击频率。

频率可以是一段时间内的总数量。例如，应用的被访问频率可以是应用在一段时间内被访问的总次数。又例如，应用的被攻击频率可以是应用在一段时间内被攻击的总次数。频率也可以是单位时间内的数量。例如，应用的被访问频率可以是应用在单位时间内的被访问的次数，也可以是在多个单位时间内的被访问次数的统计值。又例如，应用的被攻击频率可以是应用在单位时间内被攻击的次数，也可以是应用在多个单位时间内的被攻击次数的统计值。统计值例如为均值、加权均值、分位数等。

一种情况下，第一网络设备的应用数据可以基于第一网络设备的告警数据确定，那么，第一网络设备的应用数据可以包括：第一网络设备关联的应用的应用类型和各应用类型所指示的应用的被攻击频率。其中，第一网络设备的告警数据，用于指示第一网络设备关联的应用被攻击的情况，告警数据可以是第一网络设备对感知到的流量进行威胁检测，匹配到威胁检测规则后生成的。告警数据中可以包括指示发生该告警的应用的应用类型。应用数据中第一网络设备关联的应用的被攻击频率，可以基于对告警数据的统计获得，例如，可以统计第一网络设备关联的各应用在单位时间(如一天)内发生的告警的数量。

另一种情况下，第一网络设备的应用数据可以基于第一网络设备的元数据(metadata)确定，那么，第一网络设备的应用数据可以包括：第一网络设备关联的应用的应用类型和各应用类型所指示的应用的被访问频率。其中，第一网络设备的metadata，用于指示第一网络设备关联的应用的被访问的情况。下面举例说明基于metadata确定应用数据中的应用类型的方式。例如，metadata可以包括应用的数据流的五元组的全部或部分内容，那么，可以基于五元组中的协议、源端口号和/或源互联网协议(Internet Protocol，IP)地址获得应用类型，或者，也可以基于五元组中的协议、目的端口号和/或目的IP地址获得应用类型。又例如，metadata也可以包括应用的数据流的前若干字节，那么，可以基于前若干字节中的内容确定应用类型，例如，基于超文本传输协议(Hyper Text Transfer Protocol，HTTP)协议首包中的前若干字节获取统一资源定位符(uniform resource locator，URL)内容以确定应用类型。再例如，metadata也可以包括五元组以及报文间隔、报文长度、报文传输速度或报文传输方向中的一个或多个，那么，可以基于应用识别模型获得应用类型。应用识别模型可以是基于多个样本训练获得的分类模型或其他神经网络模型，每个样本包括一个数据流的五元组以及报文间隔、报文长度、报文传输速度或报文传输方向中的一个或多个。应用数据中第一网络设备关联的应用的被访问频率，可以基于对metadata的统计获得，例如，可以统计第一网络设备关联的各应用在单位时间(如10小时)内产生的metadata的数量。每个metadata可以表示该metadata关联的应用被访问一次。

又一种情况下，第一网络设备的应用数据可以基于第一网络设备的告警数据和第一网络设备的metadata共同确定，那么，第一网络设备的应用数据可以包括：第一网络设备关联的应用的应用类型、以及各应用类型所指示的应用的被攻击频率和被访问频率。其中，第一网络设备的应用数据中该第一网络设备关联的各应用的被攻击频率和被访问频率，可以是将对告警数据的统计结果以及对metadata的统计结果进行如加权平均等方式的运算获得的，权重也可以根据实际需求灵活设置。例如，可以统计第一网络设备关联的各应用在单位时间(如一天)内发生的告警的数量以及产生metadata的数量，将两个数量进行加权平均获得第一网络设备的应用数据中该第一网络设备关联的各应用的被攻击频率和被访问频率。

作为一个示例，S101例如可以包括：服务器接收第一网络设备发送的应用数据。该示例中，在S101之前，第一网络设备可以基于告警数据和/或metadata，确定第一网络设备的应用数据，并将该第一网络设备的应用数据发送给服务器。

作为另一个示例，在S101之前，第一网络设备可以将告警数据和/或metadata发送给服务器。那么，如果第一网络设备发送给服务器的是告警数据，S101例如可以包括：服务器接收第一网络设备发送的告警数据，并基于告警数据确定所述应用数据。如果第一网络设备发送给服务器的是metadata，S101例如可以包括：服务器接收第一网络设备发送的metadata，并基于metadata确定所述应用数据。如果第一网络设备发送给服务器的是告警数据和metadata，S101例如可以包括：服务器接收第一网络设备发送的告警数据和metadata，并基于告警数据和/或metadata确定所述应用数据。

可以理解的是，在第一网络设备的发送数据之前，可以先获得授权。例如，若网络设备仅被允许发送告警数据，则服务器可以基于网络设备发送的告警数据获取网络设备的应用数据。又例如，若网络设备还被允许发送metadata，则服务器可以基于网络设备发送的metadata和/或告警数据获取网络设备的应用数据。又例如，若网络设备也被允许直接发送应用数据，则服务器可以直接接收网络设备发送的应用数据。

S102，服务器根据第一网络设备的应用数据，为第一网络设备推荐威胁检测规则集合，所述威胁检测规则集合包括所述应用数据中的应用类型适用的威胁检测规则。

本申请实施例中，威胁检测规则的类型可以包括但不限于：入侵防御系统(Intrusion Prevention System，IPS)规则、入侵检测系统(intrusion-detectionsystem，IDS)规则、终端上规则引擎或网站应用防火墙(web application firewall，WAF)规则引擎。

在第一种可能的实现方式中，S102中服务器直接基于第一网络设备的应用数据为第一网络设备推荐威胁检测规则集合。例如，S102可以包括：S102a1，服务器根据第一网络设备的应用数据，确定第一网络设备的第一应用集合，第一应用集合中的应用均为第一网络设备关联的应用，第一应用集合包括第一网络设备的应用数据中的各应用类型所指示的应用；S102a2，服务器基于所述第一应用集合确定所述威胁检测规则集合。该实现方式中，服务器基于网络设备的应用数据为网络设备推荐威胁检测规则，使得推荐的威胁检测规则能够针对性地覆盖网络设备的应用需求，减少了网络设备维护的威胁检测规则的数量，这减缓了网络设备的存储压力，也避免了大量的无效或低质告警，减缓了网络设备或分析设备的处理压力。

在第二种可能的实现方式中，该方法100还可以包括：服务器获取多个网络设备的应用数据，该多个网络设备包括第一网络设备。那么，S102例如可以包括：S102b1，服务器对多个网络设备的应用数据进行聚类，以获取至少一个聚类簇，每个聚类簇包括所述多个网络设备中的至少一个网络设备的应用数据，其中，所述至少一个聚类簇包括第一聚类簇，第一聚类簇包括第一网络设备的应用数据；S102b2，服务器基于第一聚类簇包括的应用数据获取第一应用集合，所述第一应用集合包括所述第一聚类簇中的至少一个网络设备的应用数据指示的应用；S102b3，服务器基于所述第一应用集合确定所述威胁检测规则集合。

该实现方式中，服务器对包括第一网络设备的多个网络设备的应用数据进行聚类，例如可以采用基于密度的带噪声应用聚类算法(density-based spatial clusteringofapplications with noise，DBSCAN)、高斯混合模型(Gaussian-Mixed-Model，GMM)算法或K最邻(kernel and nearest-neighbor，KNN)算法，对多个网络设备的应用数据进行聚类。

该实现方式中，聚类算法可以基于应用数据的相似性，将具有相似的应用数据的网络设备聚到同一个聚类簇。可以基于一个聚类簇内的多个网络设备的应用数据获取该聚类簇的应用集合，该应用集合可以包括该聚类簇内的每个网络设备的应用数据中的应用类型所指示的应用。如此，一个聚类簇可以表征一类行业(也可以称为一个逻辑行业)，或者说，一个聚类簇可以表征该聚类簇中的网络设备所服务的对象所属的行业或逻辑行业。该聚类簇的应用集合可以表征该逻辑行业会涉及到的应用，例如，该行业对外提供的应用或服务，或该行业需要访问的应用或服务。例如，一个聚类簇表征A行业，表示该聚类簇中的网络设备所服务的对象属于A行业。A行业例如可以是医疗行业，那么，该聚类簇中的网络设备关联的应用均相似且有医疗行业的应用的特点。A行业例如也可以是金融行业，那么，该聚类簇中的网络设备关联的应用均相似且有金融行业的应用的特点。以A行业为医疗行业为例，A行业的应用集合例如可以包括X电子病历、Y超声工作站、Z医药管理系统。上述相似的判断标准可以通过聚类算法内部的处理策略确定，在本申请实施例不作展开说明。因此，在该实现方式中，通过聚类，可以获取第一网络设备所属的第一聚类簇(或者说，第一网络设备服务的对象所属的一个逻辑行业)，继而基于该逻辑行业的应用集合为第一网络设备推荐威胁检测规则集合，使得推荐的威胁检测规则既能针对性地覆盖该第一网络设备的应用需求，又能覆盖该逻辑行业的应用需求，在减少网络设备维护的威胁检测规则的同时，又进一步提升了网络设备的威胁检测性能。

可以理解的是，所述多个网络设备中的每个网络设备均可以作为S102中的第一网络设备，通过本申请实施例提供的方法，从多个聚类簇中确定每个网络设备的聚类簇，然后，基于对应的聚类簇的应用集合为网络设备确定威胁检测规则集合。。

在第三种可能的实现方式中，在S102之前，该方法100还可以包括：服务器获取多个网络设备的应用数据，任一网络设备的应用数据包括所述任一网络设备关联的应用的应用类型和各应用类型所指示的应用的被访问频率和/或被攻击频率；服务器根据所述多个网络设备的应用数据，训练推荐模型，所述推荐模型用于推荐威胁检测规则。那么，S102例如可以包括：S102c1，服务器基于第一网络设备的应用数据和推荐模型，获取第一应用集合，所述推荐模型是基于多个网络设备的应用数据训练得到的；S102c2，服务器基于所述第一应用集合确定所述威胁检测规则集合。

在该实现方式中，服务器可以基于多个网络设备的应用数据预先训练推荐模型。当需要为第一网络设备推荐威胁检测规则时，服务器可以直接基于第一网络设备的应用数据和该推荐模型确定推荐的威胁检测集合。这使得服务器能够快速地为第一网络设备推荐能覆盖第一网络设备所服务的逻辑行业的威胁检测规则，既减少了第一网络设备的存储和处理压力，提升了安全检测的性能，又提高了威胁检测规则的推荐效率。

其中，推荐模型的输入至少包括应用数据，输出为分类模型。推荐模型用于识别输入的应用数据属于的聚类簇或行业。

作为一个示例，训练推荐模型的过程可以包括：将多个网络设备的应用数据输入初始的推荐模型，初始的推荐模型使用聚类算法(或分类算法)对输入的应用数据进行处理，获得一个分类模型(即训练好的推荐模型)。该分类模型例如可以是分段函数，该分段函数能够针对输入的应用数据输出该应用数据属于的聚类簇。如此，服务器能够基于分类模型输出的每个聚类簇中的应用数据，获得各聚类簇的应用集合，每个聚类簇的应用集合包括该聚类簇中的应用数据指示的应用。在为第一网络设备推荐威胁检测规则时，服务器可以将第一网络设备的应用数据输入训练好的推荐模型，以获取该模型输出的聚类簇，继而基于该聚类簇的应用集合为第一网络设备推荐威胁检测规则集合。该示例中，S102例如可以包括：服务器将第一网络设备的应用数据输入训练好的推荐模型，获得第一聚类簇；服务器根据第一聚类簇的第一应用集合确定所述威胁检测规则集合。

对于第二种可能的实现方式和第三种可能的实现方式中，服务器确定第一聚类簇的第一应用集合的方式，例如可以包括：服务器获得属于该第一聚类簇的网络设备的应用数据对应的网络设备的集合；服务器基于所述网络设备的集合中至少一个网络设备关联的应用，获得所述第一聚类簇的第一应用集合。

对于上述各实现方式，服务器基于所述第一应用集合确定所述威胁检测规则集合(即S102a2、S102b3或S102c2)的实现方式例如可以包括：服务器根据威胁检测规则库和所述第一应用集合，确定所述威胁检测规则集合，所述威胁检测规则库中的威胁检测规则包括指示信息，指示信息指示所述威胁检测规则所适用的应用类型。

作为一个示例，在S102a2、S102b3或S102c2之前，服务器可以根据所述威胁检测规则库中各威胁检测规则中的指示信息，获得威胁检测规则和应用之间的多组映射关系；那么，该S102a2、S102b3或S102c2可以包括：服务器对所述第一应用集合中的每个应用，基于所述多组映射关系获取该应用对应的威胁检测规则，威胁检测规则集合包括所获取的威胁检测规则。

可以理解的是，服务器能够不断获取所述至少一个网络设备的应用数据，所以，服务器可以周期性的执行上述S101～S102，基于所获得的应用数据在预设的推荐时机执行S102，使得网络设备上能够时刻维护当前最为适用的威胁检测规则，有效的提高网络设备的安全性。其中，推荐时机可以和S101～S102的执行周期匹配，例如，一个时间窗口执行一次S101～S102，当获得某一个时间窗口的威胁检测规则集合后，执行S102～S103，那么，服务器向网络设备进行相邻两次推荐威胁检测规则的时间间隔可以近似的看作与时间窗口一致。或者，推荐时机也可以是服务器基于最新确定的待推荐威胁检测规则集合与网络设备上维护的威胁检测规则集合的差异是否达到预设条件确定的，例如，最新确定的待推荐威胁检测规则集合与网络设备上维护的威胁检测规则集合的差异不大于允许不更新的上限(如最新确定的待推荐威胁检测规则集合与网络设备上维护的威胁检测规则集合的存在差异的威胁检测规则条数小于或等于N条)时，不作更新，反之，向网络设备推荐最新确定的待推荐的威胁检测规则集合。N可以为大于或等于0的整数。

对于S102中确定威胁检测规则集合的第一网络设备的应用数据，可以包括执行该次S101～S102时服务器获取到的第一网络设备的应用数据(可以称为实时应用数据)，也可以包括执行该次S101～S102之前服务器获取到的第一网络设备的应用数据(可以称为历史应用数据)。当服务器基于历史应用数据和实时应用数据为第一网络设备推荐威胁检测规则时，可以基于需求设置处理策略，例如，为历史应用数据和实时应用数据设置权重，基于历史应用数据和实时应用数据的加权结果为第一网络设备推荐威胁检测规则。

对于S102，一种情况下，服务器可以通过比较获得待推荐的威胁检测规则集合和网络设备上已经维护的威胁检测规则集合的差异信息，并将差异信息发送给对应的网络设备，网络设备基于差异信息对已经维护的威胁检测规则进行修改、删除或增加等处理，以更新该网络设备上维护的威胁检测规则，该推荐方式可以称为差量规则推荐。该使用差量规则推荐的推荐模式，能够减少网络设备和服务器之间的数据交互，节约网络资源。其中，假设已推荐的威胁检测规则包括{A1,A2,A4,A5}，待推荐的威胁检测规则包括{A1,A3,A5’,A7,A8},那么，差异信息例如可以包括第一信息、第二信息和第三信息，第一信息用于指示增加威胁检测规则A3、A7和A8，第二信息用于指示删除威胁检测规则A2和A4，第三信息用于指示修改威胁检测规则A5为A5’。

另一种情况下，在差量规则推荐的情况下，为了避免多次差量规则推荐导致网络设备维护的威胁检测规则出现一些错误，确保网络设备的安全，还可以预设全量规则推荐的周期(如三个月)，在两次全量规则推荐之间，采用上述差量规则推荐的方式进行威胁检测规则的推荐，当距离上次全量规则推荐的时刻达到一个全量规则推荐的周期时，采用全量规则推荐的方式执行S102。全量规则推荐的方式是指：服务器将S102确定的威胁检测规则集合发送给第一网络设备，第一网络设备将最新接收的威胁检测规则集合覆盖之前维护的威胁检测规则集合。该推荐模式(即N次差量规则推荐+1次全量规则推荐的模式)，N次差量规则推荐能够减少网络设备和服务器之间的数据交互，节约网络资源，而且，N次差量规则推荐之后的一次全量规则推荐，又能够克服多次差量规则推荐后可能使得网络设备维护的威胁检测规则出现偏差的问题，提高了网络设备的安全性。

又一种情况下，对于S102，服务器可以采用全量规则推荐的方式向网络设备推荐威胁检测规则，预设的全量规则推荐的周期可以基于实际需求灵活设置，例如，全量规则推荐的周期可以与预设个数的时间窗口匹配。该推荐模式(即全量规则推荐的模式)无需服务器多次对比，节约了服务器的处理资源。

需要说明的是，本申请实施例中，S102中服务器为第一网络设备确定待推荐的威胁检测规则集合，能够保证该威胁检测规则集合覆盖该第一网络设备已经关联和可能关联的应用，例如，S102无论采用聚类还是推荐模型，都可以保证确定的该待推荐的威胁检测规则集合中可以包括在第一网络设备上命中过攻击的威胁检测规则，从而，使得本申请实施例提供的方法100能够确保第一网络设备基于威胁检测规则集合中的威胁检测规则对感知的流量进行威胁检测足够安全。又例如，网络设备本地可以设置威胁检测规则的更新策略，例如，对于本地维护的威胁检测规则，如果某个或某些威胁检测规则命中过攻击，则，在网络设备基于服务器发送的威胁检测规则集合更新本地维护的威胁检测规则时，保留这些命中过攻击的威胁检测规则。

S103，第一网络设备接收所述威胁检测规则集合。

在S103之后，该方法100还可以包括：第一网络设备基于所接收的威胁检测规则集合更新本地维护的威胁检测规则，所述本地维护的威胁检测规则为第一网络设备上用于威胁检测的威胁检测规则，更新后的所述本地维护的威胁检测规则包括所述威胁检测规则集合中的威胁检测规则。或者，对于服务器采用差量规则推荐的方式向第一网络设备推荐威胁检测规则集合的场景，S103中第一网络设备能够接收服务器发送的差异信息，从而，第一网络设备能够基于差异信息和本地维护的威胁检测规则，更新自身维护的威胁检测规则，即，第一网络设备基于差异信息对本地维护的威胁检测规则进行增加、删除、修改等操作，获得更新后本地维护的威胁检测规则。

在一些实现方式中，为了让网络设备维护更加全面的威胁检测规则，提高网络设备的安全性，该方法100还可以包括：服务器向各网络设备推荐新的威胁检测规则，所述新的威胁检测规则为安全专家或自动化工具基于最新的攻击提取的威胁检测规则。例如，新的威胁检测规则可以是服务器在最近时间段(例如近一个月)内收集的新的攻击类型对应的威胁检测规则。

在另一些实现方式中，为了让网络设备维护更加全面的威胁检测规则，提高网络设备的安全性，该方法100还可以包括：服务器向所述网络中的网络设备发送通用威胁检测规则(也可以称为流行性威胁检测规则)，通用威胁检测规则可能不具备明显的应用相关性，例如，非漏洞检测规则。上述S103中的威胁检测规则集合例如可以是如漏洞类的威胁检测规则等具有行业属性的威胁检测规则。

在一些实现方式中，本申请实施例提供的方法还可以包括：获得每个聚类簇(包括网络设备粒度的推荐中每个网络设备)的专有应用，以便后续对每个聚类簇的专用应用做漏洞的定向增强，实现对这些专有应用的漏洞更好的检测，从而在漏洞非常多的情况下，能够更好的保证专有应用提供的业务的漏洞检测。

作为一个示例，在每次执行完S103之后，该方法100还可以包括：服务器获取第二应用集合，所述第二应用集合是根据所述至少一个聚类簇获取的，或者，所述第二应用集合是根据所述推荐模型获取的；服务器获取第三应用集合，所述第三应用集合包括的应用存在于所述第一应用集合且所述第三应用集合包括的应用不存在于所述第二应用集合；服务器基于所述第三应用集合，更新所述威胁检测规则库。

以所述第一聚类簇为例，对上述服务器获取第二应用集合和第三应用集合的实现方式进行举例说明。服务器获取第二应用集合的过程可以包括：服务器根据所述至少一个聚类簇中除第一聚类簇以外的其它聚类簇的第一应用集合，获得所述其它聚类簇的第四应用集合，所述其它聚类簇的第四应用集合的应用为所述其它聚类簇中至少一个聚类簇涉及的应用；服务器根据所述第一聚类簇的第一应用集合和所述其它聚类簇的第四应用集合，确定第一聚类簇的第二应用集合，第二应用集合可以为第一聚类簇的第一应用集合和所述其它聚类簇的第四应用集合的交集。服务器获取第三应用集合的过程可以包括：服务器根据第一聚类簇的第一应用集合和第一聚类簇的第二应用集合，获得所述第一聚类簇的第三应用集合，所述第三应用集合可以为第一聚类簇的第一应用集合中的应用剔除第一聚类簇的第二应用集合中的应用后剩余的应用。例如，聚类后获得的至少一个聚类簇包括第一聚类簇、第二聚类簇和第三聚类簇，第一聚类簇的第一应用集合包括应用0、应用1、应用2和应用3，第二聚类簇的第一应用集合包括应用2、应用3和应用4，第三聚类簇的第一应用集合包括应用3、应用5和应用6，那么，其它聚类簇的第四应用集合可以包括应用2、应用3、应用4、应用5和应用6，第一聚类簇的第二应用集合可以包括应用2和应用3，第一聚类簇的第三应用集合可以包括应用0和应用1。

其中，服务器基于所述第三应用集合更新所述威胁检测库，例如可以包括：针对所述第三应用集合中的任一应用，周期性的检测与所述任一应用关联的威胁检测规则数据库，以获取所述威胁检测数据库中更新的威胁检测规则；服务器基于所述更新的威胁检测规则更新所述威胁检测规则库。其中，第三应用集合可以为各类行业的行业定制报告、行业预警或行业防御加强等提供数据依据。

如此，通过该实现方式，服务器能够确定各网络设备或包括多个网络设备的应用数据的聚类簇的专有应用集合，针对该专有应用集合中的专有应用做漏洞覆盖的定向增强，即，以专有应用集合中专有应用的相关数据挖掘能够进一步提高漏洞覆盖率和检测精度的威胁检测规则，使得该服务器能够为各逻辑行业提供更精细化的安全服务。

需要说明的是，本申请实施例中，网络设备基于自身维护的有效的威胁检测规则进行威胁检测的过程中，可以采用现有的各种匹配策略，以快速匹配(Fast Pattern)策略为例，Fast Pattern中，可以设置预过滤的关键词，那么，Fast Pattern的过程可以包括：第一步，网络设备基于Snort语法判断所接收的流量与预过滤的关键词是否匹配，如果匹配，则，认为该流量可能为攻击流量，从而，对该流量执行第二步的匹配，否则，认为该流量不存在被攻击的风险，不对该流量执行第二步的匹配；第二步，对可能存在被攻击风险的流量，判断其是否与有效的威胁检测规则匹配，如果匹配，则，生成该威胁检测规则对应的告警，否则，认为该流量未被攻击。可见，无论网络设备采用什么匹配策略，由于网络设备上维护的参与匹配的威胁检测规则数量减少且更加适用，所以，基于本申请实施例提供的方法，网络设备能够大大降低在威胁检测的过程中的数据处理量，从而提高威胁检测的效率，即提高了网络设备的安全检测性能。

这样，通过该方法100，服务器能够对网络设备上报的应用数据进行分析，从应用维度，为网络设备推荐该网络设备关联的应用适用的威胁检测规则，克服了目前的网络设备维护全量的威胁检测规则时导致的威胁检测性能下降的问题，即，该方法减少了网络设备维护的威胁检测规则的数量，但网络设备维护的威胁检测规则与网络设备或网络设备服务的网络的应用需求更匹配，既提升了网络设备的安全检测性能，保障了网络安全，又节省了网络设备的存储资源和处理资源。

为了使得本申请实施例提供的方法更加清楚，下面结合图2所示的场景对本申请实施例提供的方法进行示例性的说明。

图2为本申请实施例适用的网络场景中一系统架构的示意图。如图2所示，该系统架构可以包括网络设备11、网络设备12、网络设备13和服务器20。网络设备11和网络设备12例如可以属于用户1，网络设备13例如可以属于用户2。用户例如为企业用户或运营商。用户1的应用发送或接收的流量经过网络设备11和/或网络设备12，用户2的应用发送或接收的流量经过网络设备13。服务器20，用于维护威胁检测规则库，并为网络设备11、网络设备12和网络设备13发送威胁检测规则。需要说明的是，服务器20提供威胁检测规则推荐服务的网络设备的个数、网络设备所服务的对象(例如，网络设备属于的企业用户或运营商)均不构成对本申请实施例所要保护的技术方案的限定，具体实施过程中可以基于实际的需求进行灵活设置。

结合图2，以网络设备11和服务器20为例对网络设备和服务器的结构进行示例性的说明。

参见图2，网络设备11可以包括：入侵防御系统(intrusion prevention system，IPS)111、深度报文检测(deep packet inspection，DPI)模块112和数据收集模块113。其中，IPS 111用于实现漏洞防御、已知僵木蠕类漏洞的检测等安全相关功能，DPI模块112用于对网络设备11接收到的流量进行深度报文解析以识别流量所属的应用，数据收集模块113用于从网络设备11接收到的流量中提取应用数据以供服务器20作威胁检测规则的推荐。

服务器20可以包括：数据收集模块201和规则推荐模块202。数据收集模块201可以用于从不同的网络设备的数据收集模块接收应用数据，例如从网络设备11的数据收集模块113接收网络设备11的应用数据。该应用数据例如可以是数据收集模块113收集的、根据IPS告警数据确定的数据，也可以是数据收集模块113收集的、根据网络设备11的用户1允许公开并使用的metadata确定的数据，还可以是数据收集模块113收集的、根据IPS告警数据和metadata确定的数据。或者，数据收集模块201可以用于从不同的网络设备的数据收集模块接收IPS告警数据和/或metadata，并基于IPS告警数据和/或metadata获得该网络设备的应用数据，例如从网络设备11的数据收集模块113接收网络设备11的IPS告警数据和/或metadata，对网络设备11的IPS告警数据和/或metadata进行处理获得网络设备11的应用数据。规则推荐模块202用于基于接收的各网络设备的应用数据、本地的威胁检测规则库(如IPS全量规则库)以及本申请实施例提供的威胁检测规则的推荐方法，确定待推荐给各网络设备的威胁检测规则集合。此外，该服务器20还可以包括威胁自动阻断模块203，威胁自动阻断模块203用于对确定的威胁采取直接阻断的强制控制操作，例如，向与确定的威胁关联的网络设备发送处置策略，以阻断与某个IPS威胁检测规则匹配的流量或阻断与某个IP地址匹配的流量，以提高网络安全性。

以图2所示场景为例，结合图3对服务器20为网络设备11、网络设备12和网络设备13推荐威胁检测规则的过程进行介绍。

图3中以服务器20基于各时间窗口的应用数据，通过聚类对网络设备进行威胁检测规则的推荐的过程为例对本实施例提供的方法进行说明。参见图3，本实施例提供的威胁检测规则的推荐过程例如可以包括：S21，第一时间窗口下服务器20为网络设备11、网络设备12和网络设备13推荐威胁检测规则的过程(即S22～S29)，以及第二时间窗口下服务器20为网络设备11、网络设备12和网络设备13推荐威胁检测规则的过程(即S32～S37)。

S21，网络设备11、网络设备12和网络设备13分别向服务器20发送应用数据11、应用数据12和应用数据13。

可以理解的是，各网络设备可以周期性的向服务器20发送应用数据，也可以生成应用数据后实时发送给服务器20。本实施例中，服务器20获得各网络设备的应用数据的方式可以是各网络设备基于metadata和/或告警数据获得应用数据并发送给服务器20；也可以是各网络设备将metadata和/或告警数据发送给服务器20，服务器20基于接收的metadata和/或告警数据获得各网络设备的应用数据。S21中以各网络设备基于metadata和/或告警数据获得应用数据并发送给服务器20为例进行描述。

下面对第一时间窗口下服务器20为网络设备11、网络设备12和网络设备13推荐威胁检测规则的过程进行说明，该过程例如可以包括下述S22～S29。

S22，服务器20将应用数据11、应用数据12和应用数据13中属于第一时间窗口(如第一周)的应用数据111、应用数据121和应用数据131分别作为一个样本，并对三个样本分别进行特征提取，获得三个对应的特征向量：[X11＝a1,X12＝a2,……,X1n＝an]、[X21＝b1,X22＝b2,……,X2n＝bn]和[X31＝c1,X32＝c2,……,X3n＝cn]。

可以理解的是，服务器20可以基于获得应用数据的时间确定不同时间窗口的应用数据；或者，服务器20也可以基于应用数据自身的时间属性(例如应用数据的时间戳)确定不同时间窗口的应用数据。

其中，X1n中的n为网络中涉及的应用的总数，例如n＝1000，指示该网络中涉及1000个应用；X11＝a1指示网络设备11在第一时间窗口内第一个应用的被访问频率和/或被攻击频率为a1，X1n＝an指示网络设备11在第一时间窗口内第n个应用的被访问频率和/或被攻击频率为an，X3n＝cn指示网络设备13在第一时间窗口内第n个应用的被访问频率和/或被攻击频率为cn。其中，a1～an、b1～bn以及c1～cn可以是统计数值。例如，当应用数据基于告警数据确定时，这些数值可以指第一时间窗口内某个应用在单位时间(如一天)的告警数量，单位时间内的告警数量可以理解为告警频率，告警频率能够体现该应用被攻击的频率。又例如，当应用数据基于metadata确定时，这些数值可以指第一时间窗口内某个应用在单位时间产生的metadata条数，单位时间内的metadata条数可以理解为metadata产生频率，metadata产生频率能够体现该应用被访问的频率。又例如，当应用数据基于告警数据和metadata确定时，该实施例中还可以基于告警数量对应的特征向量和metadata对应的特征向量进行加权或加权平均处理，获得能够体现第一时间窗口内某个应用被攻击的频率和被访问的频率的特征向量，该特征向量被后续步骤推荐威胁检测规则的依据。

本申请实施例中，对于特征向量的表达方式，采用的是机器学习模型中的表达方式，在具体实现中也可以采用其它表达方式，只要能够表示特征向量的上述示例中指出的相关含义即可。

S23，服务器20根据特征向量[X11＝a1,X12＝a2,……,X1n＝an]、[X21＝b1,X22＝b2,……,X2n＝bn]和[X31＝c1,X32＝c2,……,X3n＝cn]，使用聚类算法对网络设备11、网络设备12和网络设备13进行聚类，获得行业1和行业2。

作为一个示例，S23例如可以包括：服务器20获得的聚类结果包括聚类簇1和聚类簇2，聚类簇1包括网络设备11的应用数据111和网络设备13的应用数据131；接着，服务器20还可以根据聚类簇1包括的应用数据111和应用数据131中所指示的应用类型，确定聚类簇1对应行业1，网络设备11提供服务的对象和网络设备13提供服务的对象属于行业1；同理，服务器20还可以根据聚类簇2包括的应用数据121中所指示的应用类型，确定聚类簇2对应行业2，网络设备12提供服务的对象属于行业2。

S24，服务器20获得行业1的设备列表1和行业2的设备列表2，并基于设备列表1获得应用列表1，基于设备列表2获得应用列表2。

行业1的设备列表1可以为：{网络设备11、网络设备13}，行业2的设备列表2可以为：{网络设备12}。

行业1的应用列表1可以基于设备列表1中的网络设备关联的应用确定，行业2的应用列表2可以基于设备列表2中的网络设备关联的应用确定，其中，网络设备关联的应用可以指网络设备感知到的流量所属的应用。例如，应用列表1可以为{X1＝1,X2＝1,……,Xn＝0}，其中，X1＝1指示行业1中网络设备11和/或网络设备13关联应用1，Xn＝0指示行业1中网络设备11和网络设备13均未关联应用n；应用列表2可以为{X1＝1,X2＝0,……,Xn＝1}，其中，X1＝1指示行业2中网络设备12关联应用1，X2＝0指示行业2中网络设备12未关联应用2。

本申请实施例中，对于应用列表的表达方式，采用的是机器学习模型中的表达方式，在具体实现中也可以采用其它表达方式，只要能够表示应用列表的上述示例中指出的相关含义即可。

S25，服务器20基于本地保存的威胁检测规则库，获得威胁检测规则和应用之间的映射关系。

威胁检测规则库中的威胁检测规则可以体现所适用的应用，那么，服务器20可以将威胁检测规则库中的威胁检测规则按照应用进行分类，获得多组映射关系，每组映射关系包括一个应用和该应用适用的威胁检测规则。

以服务器20上的威胁检测规则库为IPS全量规则库为例，IPS全量规则库中的每条威胁检测规则可以包括：协议、攻击大类、攻击子类、严重等级、攻击名称和通用漏洞披露(CommonVulnerabilities and Exposures，CVE)编号等信息。其中，CVE编号可以指示到该威胁检测规则适用的应用。对于CVE编号不指示应用的情况，威胁检测规则还需要包括用于指示应用类型的信息(如应用的标识)。CVE编号，能够唯一标识漏洞类型，编号格式可以为：CVE-年份-编号，例如，CVE-2019-0708代表远程桌面远程代码执行漏洞。CVE编号也可以指示漏洞对应的应用，那么，该情况下一个应用的同一种类型的漏洞，CVE编号相同。

其中，协议例如可以包括但不限于：HTTP、互联网消息访问协议(InternetMessage Access Protocol，IMAP)或服务器报文块(Server Message Block，SMB)协议。攻击大类例如可以包括但不限于：应用(application)、应用服务器(AppServer)或恶意软件(malware)。攻击子类例如可以包括但不限于：远程命令执行(code-execution)、溢出(overflow)或信息披露(info-disclosure)。严重等级可以包括：高、中或低。攻击名称可以用于标识攻击，例如可以包括但不限于：Adobe Acrobat Reader畸形字体处理内存损坏漏洞或Adobe FlashActionScript PCM整数溢出漏洞告警。

以应用为MicrosoftAdobe为例，对威胁检测规则和应用之间的映射关系进行介绍。Microsoft Adobe应用对应的一个映射关系中可以包括下述威胁检测规则：rule i1、rule i2、…、rule im，其中，i为MicrosoftAdobe应用对应的映射关系的编号，m为MicrosoftAdobe应用对应的威胁检测规则的总数。例如，rule i1为用于检测MicrosoftAdobe应用的CVE-2016-1104漏洞的威胁检测规则，rule i2为用于检测Microsoft Adobe应用的CVE-2016-1106漏洞的威胁检测规则，rule i3为用于检测Microsoft Adobe应用的CVE-2016-1109漏洞的威胁检测规则，rule im为用于检测Microsoft Adobe应用的CVE-2016-1100漏洞的威胁检测规则。

需要说明的是，S25和S22～S24的执行顺序不作限定，可以先执行S25再执行S22～S24，也可以先执行S22～S24再执行S25，还可以同时执行S25和S22～S24。

S26，服务器20基于威胁检测规则库和行业1的应用列表1，确定行业1对应的威胁检测规则集合1，同理，基于威胁检测规则库和行业2的应用列表2，确定行业2对应的威胁检测规则集合2。

服务器20从应用列表1中确定行业1中涉及的应用(即应用列表1中数值等于1的应用)，在威胁检测规则库中基于映射关系查找与行业1中涉及的每个应用对应的威胁检测规则，将查找获得的威胁检测规则记录到威胁检测规则集合1中。同理，服务器20从应用列表2中确定行业2中涉及的应用(即应用列表2中数值等于1的应用)，在威胁检测规则库中基于映射关系查找与行业2中涉及的每个应用对应的威胁检测规则，将查找获得的威胁检测规则记录到威胁检测规则集合2中。

S27，服务器20向网络设备11和网络设备13发送威胁检测规则集合1中的威胁检测规则，向网络设备12发送威胁检测规则集合2中的威胁检测规则。

非漏洞类的威胁检测规则(例如，僵尸网络特征规则或僵木蠕类规则)，没有明显的行业属性，是所有行业通用的威胁检测规则。所以，可选地，本申请实施例中还可以包括：S28，服务器20向网络设备11、网络设备12和网络设备13发送非漏洞类的威胁检测规则。

需要说明的是，对于最新的攻击，安全专家或自动化工具能够提取新的威胁检测规则，由于新的攻击积累的应用数据有限，所以，可以不对新的威胁检测规则按照本实施例提供的方法进行推荐，可选地，本申请实施例还可以包括：S29，服务器20向网络设备11、网络设备12和网络设备13发送新的威胁检测规则。其中，该新的威胁检测规则可以是创建时间未达到预设时间(如一周)的威胁检测规则，S27中推荐的威胁检测规则可以是创建时间超过该预设时间的威胁检测规则；或者，该新的威胁检测规则可以是执行S22～S27时产生的威胁检测规则，S27中推荐的威胁检测规则可以是S22执行之前已经产生的威胁检测规则。

下面对第二时间窗口下服务器20为网络设备11、网络设备12和网络设备13推荐威胁检测规则的过程进行说明，该过程例如可以包括下述S32～S37。

S32，服务器20将应用数据11、应用数据12和应用数据13中属于第二时间窗口(如第二周)的应用数据112、应用数据122和应用数据132分别作为一个样本，并对三个样本分别进行特征提取，获得三个对应的特征向量：[X11＝a1’,X12＝a2’,……,X1n＝an’]、[X21＝b1’,X22＝b2’,……,X2n＝bn’]和[X31＝c1’,X32＝c2’,……,X3n＝cn’]。

S33，服务器20根据特征向量[X11＝a1’,X12＝a2’,……,X1n＝an’]、[X21＝b1’,X22＝b2’,……,X2n＝bn’]和[X31＝c1’,X32＝c2’,……,X3n＝cn’]，使用聚类算法对网络设备11、网络设备12和网络设备13进行聚类，获得行业1’和行业2’。

需要说明的是，S33中进行聚类的依据除了[X11＝a1’,X12＝a2’,……,X1n＝an’]、[X21＝b1’,X22＝b2’,……,X2n＝bn’]和[X31＝c1’,X32＝c2’,……,X3n＝cn’]，还可以包括[X11＝a1,X12＝a2,……,X1n＝an]、[X21＝b1,X22＝b2,……,X2n＝bn]和[X31＝c1,X32＝c2,……,X3n＝cn]。在一些示例中，还可以基于需求为[X11＝a1’,X12＝a2’,……,X1n＝an’]、[X21＝b1’,X22＝b2’,……,X2n＝bn’]和[X31＝c1’,X32＝c2’,……,X3n＝cn’]和[X11＝a1,X12＝a2,……,X1n＝an]、[X21＝b1,X22＝b2,……,X2n＝bn]和[X31＝c1,X32＝c2,……,X3n＝cn]设置权重，通过两组特征向量的加权或加权平均处理，获得一组作为聚类依据的特征向量。

S34，服务器20获得行业1’的设备列表1’和行业2’的设备列表2’，并基于设备列表1’获得应用列表1’，基于设备列表2’获得应用列表2’。

S35，服务器20基于威胁检测规则库和行业1’的应用列表1’，确定行业1’对应的威胁检测规则集合1’，同理，基于威胁检测规则库和行业2’的应用列表2’，确定行业2’对应的威胁检测规则集合2’。

S36，服务器20向为行业1’包括的对象提供服务的网络设备发送威胁检测规则集合1’中的威胁检测规则，向为行业2’包括的对象提供服务的网络设备发送威胁检测规则集合2’中的威胁检测规则。

图3中以为行业1’包括的对象提供服务的网络设备包括网络设备11和网络设备12，为行业2’包括的对象提供服务的网络设备包括网络设备13为例示出。

S37，网络设备11、网络设备12和网络设备13更新维护的威胁检测规则。

作为一个示例，在S36之前，如果网络设备11、网络设备12和网络设备13上维护的是服务器20基于第一时间窗口的应用数据确定并推荐的威胁检测规则，那么，一种情况下，S36中服务器20可以对比每个网络设备上基于第二时间窗口的应用数据确定的待推荐的威胁检测规则与基于第一时间窗口的应用数据确定的已推荐的威胁检测规则的差别，将两次确定的威胁检测规则的差异信息发送给对应的网络设备，这样，S37中每个网络设备基于接收到的差异信息更新自身维护的威胁检测规则。该情况下，为了确保网络设备的性能，还可以在预设的时间周期(可以对应上文中的全量规则推荐的周期)，将基于最近的时间窗口的应用数据确定的待推荐的威胁检测规则全量发送给对应的网络设备，各网络设备基于所接收到的威胁检测规则集合对各自维护的威胁检测规则进行一次较为全面的更新。另一种情况下，S36中服务器20可以直接将基于第二时间窗口的应用数据确定的待推荐的威胁检测规则全量发送给对应的网络设备，这样，S37中每个网络设备基于接收到的威胁检测规则更新自身维护的威胁检测规则。

在一些实现方式中，本申请实施例提供的方法还可以获取每类行业的专有应用，以便后续对每类行业的专有应用做漏洞检测规则的定向增强，实现对这些专有应用的漏洞更好的检测，能够更好的保证专有应用提供的业务的漏洞覆盖。作为一个示例，以S23获得的聚类结果为例，行业1的应用列表1为{X1＝1,X2＝1,……,Xn＝0}，行业2的应用列表2可以为{X1＝1,X2＝0,……,Xn＝1}，行业1的专有应用列表4的获得过程可以包括：根据应用列表2确定属于行业1以外的其它行业的应用列表3可以为{X1＝1,X2＝0,……,Xn＝1}；根据应用列表3和应用列表1确定行业1和行业2的公共应用列表5为{X1＝1,X2＝0,……,Xn＝0}；根据应用列表1和公共应用列表5确定专有应用列表4为{X1＝0,X2＝1,……,Xn＝0}，如此，可以确定行业1的专有应用至少包括应用2。行业2的专有应用列表7的获得过程可以包括：根据应用列表1确定属于行业2以外的其它行业的应用列表6可以为{X1＝1,X2＝1,……,Xn＝0}；根据应用列表6和应用列表2确定行业1和行业2的公共应用列表5为{X1＝1,X2＝0,……,Xn＝0}；根据应用列表2和公共应用列表5确定专有应用列表7为{X1＝0,X2＝0,……,Xn＝1}，如此，可以确定行业2的专有应用至少包括应用n。

其中，服务器20可以根据除了行业1以外的其它行业的应用列表确定属于行业1以外的其它行业的应用列表。其它行业中任意一个行业涉及的应用，均作为属于行业1以外的其它行业的应用列表的应用。公共应用列表的应用，可以指行业1和其它行业中至少的一个行业均涉及的公共应用。行业1的专有应用列表的应用，可以指行业1涉及的应用中剔除公共应用列表指示涉及的公共应用后得到的应用。以行业1的专有应用列表4为例，计算公式可以表示为：专有应用列表4＝应用列表1-(应用列表1∩应用列表3)。

通过本实施例，服务器20能够对各网络设备上报的应用数据进行分析，从应用维度为网络设备进行行业画像，并为各网络设备推荐该网络设备或该网络设备提供服务的对象属于的行业涉及的应用适用的威胁检测规则，使得网络设备能够维护数量较少且针对性强的威胁检测威胁检测规则，节约了网络设备的资源，提升了网络设备的安全检测性能。

可选地，服务器20可以在网络设备11、网络设备12和网络设备13部署的时间超过预设的上线周期后执行上述方法。在网络设备11、网络设备12和网络设备13部署的时间未达到预设的上线周期时，可以认为网络设备11、网络设备12和网络设备13提供的业务不稳定，此时，服务器20可以将威胁检测规则库中的威胁检测规则全部发送到网络设备11、网络设备12和网络设备13，网络设备11、网络设备12和网络设备13均维护威胁检测规则库中的全部的威胁检测规则，如此，在没有能够全面表征网络设备关联应用的应用数据之前，保障了网络设备的安全性。在各网络设备度过预设的上线周期后，即可认为各网络设备提供的业务稳定，各网络设备的应用数据能够全面、准确的反映该网络设备关联应用的被访问的情况或被攻击的情况，从而，服务器20可以基于本申请实施例提供的方法为各网络设备推荐合理且数量较少的威胁检测规则，各网络设备无需维护威胁检测规则库中的全部的威胁检测规则，网络设备能够节约存储和处理资源，提高了网络设备的性能。

相应的，本申请实施例还提供了一种威胁检测规则的推荐装置400，该装置400应用于服务器。如图4所示，该装置400可以包括第一获取单元401和推荐单元402。

第一获取单元401，用于获取第一网络设备的应用数据，所述应用数据包括所述第一网络设备关联的应用的应用类型和各应用类型所指示的应用的被访问频率和/或被攻击频率。该第一获取单元401可以执行图1所示的S101。

推荐单元402，用于根据所述第一网络设备的应用数据，为所述第一网络设备推荐威胁检测规则集合，所述威胁检测规则集合包括所述应用数据中的应用类型适用的威胁检测规则。该推荐单元402可以执行图1所示的S102。

在一种可能的实现方式中，所述第一获取单元401，具体用于：接收所述第一网络设备发送的所述应用数据。

在一种可能的实现方式中，所述第一获取单元401，具体用于：接收所述第一网络设备发送的告警数据，并基于所述告警数据确定所述应用数据。所述告警数据用于指示所述第一网络设备关联的应用被攻击的情况。

在一种可能的实现方式中，所述第一获取单元401，具体用于：接收所述第一网络设备发送的元数据，并基于所述元数据确定所述应用数据。所述元数据用于描述所述第一网络设备关联的应用的被访问的情况。

在一种可能的实现方式中，所述推荐单元402可以包括：聚类子单元、获取子单元和确定子单元。聚类子单元，用于对多个网络设备的应用数据进行聚类，以获取至少一个聚类簇。每个聚类簇包括所述多个网络设备中的至少一个网络设备的应用数据，所述多个网络设备包括所述第一网络设备。获取子单元，用于基于第一聚类簇包括的应用数据获取第一应用集合。所述第一应用集合包括所述第一聚类簇中的至少一个网络设备的应用数据指示的应用。所述至少一个聚类簇包括所述第一聚类簇，所述第一聚类簇包括所述第一网络设备的应用数据。确定子单元，用于基于所述第一应用集合确定所述威胁检测规则集合。

在一种可能的实现方式中，所述推荐单元402可以包括获取子单元和确定子单元。获取子单元，用于基于所述第一网络设备的应用数据和推荐模型，获取第一应用集合。确定子单元，用于基于所述第一应用集合确定所述威胁检测规则集合。所述推荐模型是基于多个网络设备的应用数据训练得到的。

作为一个示例，所述确定子单元，具体用于：根据威胁检测规则库和所述第一应用集合，确定所述威胁检测规则集合。所述威胁检测规则库中的威胁检测规则包括指示信息，指示信息指示所述威胁检测规则所适用的应用类型。

在一种可能的实现方式中，该装置400还可以包括第二获取单元、第三获取单元和更新单元。第二获取单元，用于获取第二应用集合，所述第二应用集合是根据所述至少一个聚类簇获取的，或者，所述第二应用集合是根据所述推荐模型获取的。第三获取单元，用于获取第三应用集合，所述第三应用集合包括的应用存在于所述第一应用集合且所述第三应用集合包括的应用不存在于所述第二应用集合。更新单元，用于基于所述第三应用集合更新所述威胁检测规则库。

作为一个示例，所述更新单元，具体用于：针对所述第三应用集合中的任一应用，周期性的检测与所述任一应用关联的威胁检测规则数据库，以获取所述威胁检测数据库中更新的威胁检测规则，并基于所述更新的威胁检测规则更新所述威胁检测规则库。

其中，所述威胁检测规则的类型可以包括但不限于：IPS规则、IDS规则、终端上规则引擎或WAF规则引擎。

需要说明的是，本申请实施例提供的装置400的具体实现方式以及达到的技术效果，可以参见方法100中服务器的相关操作的说明。

相应的，本申请实施例还提供了一种威胁检测规则的推荐装置500，该装置500应用于服务器。如图5所示，该装置500可以包括获取单元501和训练单元502。

获取单元501，用于获取多个网络设备的应用数据。任一网络设备的应用数据包括所述任一网络设备关联的应用的应用类型和各应用类型所指示的应用的被访问频率和/或被攻击频率。

训练单元502，用于根据所述多个网络设备的应用数据，训练推荐模型。所述推荐模型用于推荐威胁检测规则。

该装置500的各单元的具体实现方式以及技术效果可以参见方法100中关于推荐模型的训练以及使用的相关描述。

在一种可能的实现方式中，获取单元501，具体用于：接收多个网络设备发送的应用数据。该实现方式中，多个网络设备中的每个网络设备都可以基于自己的告警数据和/或metadata，确定自己的应用数据，并将自己的应用数据发送给服务器。

在一种可能的实现方式中，获取单元501，具体用于：接收多个网络设备发送的告警数据和/或metadata，并基于所接收的数据确定多个网络设备的应用数据。

需要说明的是，本申请实施例提供的装置500的具体实现方式以及达到的技术效果，可以参见方法100中服务器的相关操作的说明。

相应的，本申请实施例还提供了一种威胁检测规则的推荐装置600，该装置600应用于网络设备。如图6所示，该装置600可以包括发送单元601和接收单元602。

发送单元601，用于发送网络设备的应用数据，所述应用数据包括所述网络设备关联的应用的应用类型和各应用类型所指示的应用的被访问频率和/或被攻击频率。该发送单元601可以执行图1所示的S102。

接收单元602，用于接收威胁检测规则集合。所述威胁检测规则集合为基于所述网络设备的应用数据确定的。所述威胁检测规则集合包括所述应用数据中的应用类型适用的威胁检测规则。该接收单元602可以执行图1所示的S103。

在一种可能的实现方式中，该装置600还可以包括获取单元和确定单元。获取单元，用于获取所述网络设备生成的告警数据，所述告警数据用于指示所述网络设备关联的应用被攻击的情况。确定单元，用于基于所述告警数据确定所述应用数据。

在一种可能的实现方式中，该装置600还可以包括获取单元和确定单元。获取单元，用于获取所述网络设备生成的元数据，所述元数据用于描述所述网络设备关联的应用的被访问情况。确定单元，用于基于所述元数据确定所述应用数据。

在一种可能的实现方式中，该装置600还可以包括更新单元。更新单元，用于基于所述威胁检测规则集合更新本地维护的威胁检测规则，更新后的所述本地维护的威胁检测规则包括所述威胁检测规则集合中的威胁检测规则。所述本地维护的威胁检测规则为所述网络设备上用于威胁检测的威胁检测规则。

需要说明的是，本申请实施例提供的装置600的具体实现方式以及达到的技术效果，可以参见本申请实施例提供的方法100中关于网络设备的相关操作的说明。

参见图7，本申请实施例提供了一种通信设备700。该通信设备700可以是上述任一实施例中的网络设备，例如可以是图1中的第一网络设备；又例如也可以是图2或图3中的网络设备11、网络设备12或网络设备13。通信设备700可以实现上述实施例中各种网络设备的功能。或者，该通信设备700可以是上述任一实施例中的服务器，例如可以是图1中的服务器；又例如也可以是图2或图3中的服务器20。通信设备700可以实现上述实施例中服务器或网络设备的功能。该通信设备700包括至少一个处理器701，总线系统702，存储器703以及至少一个通信接口704。

该通信设备700是一种硬件结构的装置，可以用于实现图4所示的威胁检测规则的推荐装置400中的功能模块。例如，通过该至少一个处理器701调用存储器703中的代码来实现图4所示的威胁检测规则的推荐装置400中的推荐单元402。或者，该通信设备700是一种硬件结构的装置，可以用于实现图5所示的威胁检测规则的推荐装置500中的功能模块。例如，通过该至少一个处理器701调用存储器703中的代码来实现图5所示的威胁检测规则的推荐装置500中的训练单元502。该通信设备700是一种硬件结构的装置，可以用于实现图6所示的威胁检测规则的推荐装置600中的功能模块。例如，通过该至少一个处理器701调用存储器703中的代码来实现图6所示的威胁检测规则的推荐装置600中的确定单元。

可选的，该通信设备700还可用于实现上述任一实施例中网络设备的功能。

可选的，上述处理器701可以是一个通用中央处理器(central processing unit，CPU)，网络处理器(networkprocessor，NP)，微处理器，特定应用集成电路(application-specific integrated circuit，ASIC)，或一个或多个用于控制本申请方案程序执行的集成电路。

上述总线系统702可以包括通路，在上述组件之间传送信息。

上述通信接口704，用于与其他设备或通信网络通信。

上述存储器703可以是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory，EEPROM)、只读光盘(compactdisc read-only memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过总线与处理器相连接。存储器也可以和处理器集成在一起。

其中，存储器703用于存储执行本申请方案的应用程序代码，并由处理器701来控制执行。处理器701用于执行存储器703中存储的应用程序代码，从而实现本申请方法中的功能。

在具体实现中，作为一种实施例，处理器701可以包括一个或多个CPU，例如图7中的CPU0和CPU1。

在具体实现中，作为一种实施例，该通信设备700可以包括多个处理器，例如图7中的处理器701和处理器707。这些处理器中的每一个可以是一个单核(single-CPU)处理器，也可以是一个多核(multi-CPU)处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

图8是本申请实施例提供的另一种通信设备800的结构示意图，通信设备800可以是上述任一实施例中的网络设备或服务器，可以是图1中的第一网络设备或服务器；又例如也可以是图2或图3中的网络设备11、网络设备12、网络设备13或服务器20。通信设备800可以实现上述实施例中各种网络设备或服务器的功能。

通信设备800包括：主控板810和接口板830。

主控板810也称为主处理单元(main processing unit，MPU)或路由处理卡(routeprocessor card)，主控板810对通信设备800中各个组件的控制和管理，包括路由计算、设备管理、设备维护、协议处理功能。主控板810包括：中央处理器811和存储器812。

接口板830也称为线路接口单元卡(line processingunit，LPU)、线卡(linecard)或业务板。接口板830用于提供各种业务接口并实现数据包的转发。业务接口包括而不限于以太网接口、POS(Packet over SONET/SDH)接口等，以太网接口例如是灵活以太网业务接口(Flexible Ethernet Clients，FlexE Clients)。接口板830包括：中央处理器831、网络处理器832、转发表项存储器834和物理接口卡(ph8sical interface card，PIC)833。

接口板830上的中央处理器831用于对接口板830进行控制管理并与主控板810上的中央处理器811进行通信。

网络处理器832用于实现报文的转发处理。网络处理器832的形态可以是转发芯片。具体而言，上行报文的处理包括：报文入接口的处理，转发表查找；下行报文的处理：转发表查找等等。

物理接口卡833用于实现物理层的对接功能，原始的流量由此进入接口板830，以及处理后的报文从该物理接口卡833发出。物理接口卡833包括至少一个物理接口，物理接口也称物理口，物理接口卡833对应于系统架构中的FlexE物理接口。物理接口卡833也称为子卡，可安装在接口板830上，负责将光电信号转换为报文并对报文进行合法性检查后转发给网络处理器832处理。在一些实施例中，接口板830的中央处理器831也可执行网络处理器832的功能，比如基于通用CPU实现软件转发，从而物理接口卡833中不需要网络处理器832。

可选地，通信设备800包括多个接口板，例如通信设备800还包括接口板840，接口板840包括：中央处理器841、网络处理器842、转发表项存储器844和物理接口卡843。

可选地，通信设备800还包括交换网板820。交换网板820也可以称为交换网板单元(switch fabric unit，SFU)。在通信设备800有多个接口板830的情况下，交换网板820用于完成各接口板之间的数据交换。例如，接口板830和接口板840之间可以通过交换网板820通信。

主控板810和接口板830耦合。例如。主控板810、接口板830和接口板840，以及交换网板820之间通过系统总线与系统背板相连实现互通。在一种可能的实现方式中，主控板810和接口板830之间建立进程间通信协议(inter-process communication，IPC)通道，主控板810和接口板830之间通过IPC通道进行通信。

在逻辑上，通信设备800包括控制面和转发面，控制面包括主控板810和中央处理器831，转发面包括执行转发的各个组件，比如转发表项存储器834、物理接口卡833和网络处理器832。控制面执行路由器、生成转发表、处理信令和协议报文、配置与维护设备的状态等功能，控制面将生成的转发表下发给转发面，在转发面，网络处理器832基于控制面下发的转发表对物理接口卡833收到的报文查表转发。控制面下发的转发表可以保存在转发表项存储器834中。在一些实施例中，控制面和转发面可以完全分离，不在同一设备上。

如果通信设备800被配置为服务器，中央处理器811可以获取第一网络设备的应用数据，根据所述第一网络设备的应用数据，确定待向第一网络设备推荐的威胁检测规则集合；网络处理器832还可以触发物理接口卡833向第一网络设备推荐的威胁检测规则集合。

应理解，威胁检测规则的推荐装置400中的推荐单元402中的发送威胁检测规则集合的功能可以相当于通信设备800中的物理接口卡833或物理接口卡843；威胁检测规则的推荐装置400中的第一获取单元401和推荐单元402的确定威胁检测规则集合的功能可以相当于通信设备800中的中央处理器811或中央处理器831。

应理解，本实施例的通信设备800可对应于上述各个实施例中的威胁检测规则的推荐装置400，该通信设备800中的主控板810、接口板830和/或接口板840可以实现上述各个实施例中的威胁检测规则的推荐装置400中所具有的功能和/或所实施的各种步骤，为了简洁，在此不再赘述。

如果通信设备800被配置为服务器，中央处理器811可以获取多个网络设备的应用数据，并根据所述多个网络设备的应用数据，训练推荐模型；网络处理器832还可以触发物理接口卡833接收多个网络设备发送的应用数据。

应理解，威胁检测规则的推荐装置500中的获取单元501可以相当于通信设备800中的物理接口卡833或物理接口卡843；威胁检测规则的推荐装置500中的训练单元502的可以相当于通信设备800中的中央处理器811或中央处理器831。

应理解，本实施例的通信设备800可对应于上述各个实施例中的威胁检测规则的推荐装置500，该通信设备800中的主控板810、接口板830和/或接口板840可以实现上述各个实施例中的威胁检测规则的推荐装置500中所具有的功能和/或所实施的各种步骤，为了简洁，在此不再赘述。

如果通信设备800被配置为网络设备，网络处理器832还可以触发物理接口卡833发送网络设备的应用数据，并接收威胁检测规则集合；中央处理器811可以基于所述威胁检测规则集合更新本地维护的威胁检测规则。

应理解，威胁检测规则的推荐装置600中的接收单元601和发送单元602可以相当于通信设备800中的物理接口卡833或物理接口卡843；威胁检测规则的推荐装置600中的更新单元的可以相当于通信设备800中的中央处理器811或中央处理器831。

应理解，本实施例的通信设备800可对应于上述各个实施例中的威胁检测规则的推荐装置600，该通信设备800中的主控板810、接口板830和/或接口板840可以实现上述各个实施例中的威胁检测规则的推荐装置600中所具有的功能和/或所实施的各种步骤，为了简洁，在此不再赘述。

应理解，本申请实施例中接口板840上的操作与接口板830的操作一致，为了简洁，不再赘述。应理解，本实施例的通信设备800中的主控板810、接口板830和/或接口板840可以实现上述各个实施例中的通信设备700中所具有的功能和/或所实施的各种步骤，为了简洁，在此不再赘述。

应理解，主控板可能有一块或多块，有多块的时候可以包括主用主控板和备用主控板。接口板可能有一块或多块，网络设备的数据处理能力越强，提供的接口板越多。接口板上的物理接口卡也可以有一块或多块。交换网板可能没有，也可能有一块或多块，有多块的时候可以共同实现负荷分担冗余备份。在集中式转发架构下，网络设备可以不需要交换网板，接口板承担整个系统的业务数据的处理功能。在分布式转发架构下，网络设备可以有至少一块交换网板，通过交换网板实现多块接口板之间的数据交换，提供大容量的数据交换和处理能力。所以，分布式架构的网络设备的数据接入和处理能力要大于集中式架构的设备。可选地，网络设备的形态也可以是只有一块板卡，即没有交换网板，接口板和主控板的功能集成在该一块板卡上，此时接口板上的中央处理器和主控板上的中央处理器在该一块板卡上可以合并为一个中央处理器，执行两者叠加后的功能，这种形态设备的数据交换和处理能力较低(例如，低端交换机或路由器等网络设备)。具体采用哪种架构，取决于具体的组网部署场景。

在一些可能的实施例中，上述各网络设备或网络设备可以实现为虚拟化设备。例如，虚拟化设备可以是运行有用于发送报文功能的程序的虚拟机(英文：Virtual Machine，VM)，虚拟机部署在硬件设备上(例如，物理服务器)。虚拟机指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。可以将虚拟机配置为本申请实施例中的各网络设备或服务器。例如，可以基于通用的物理服务器结合网络功能虚拟化(Network Functions Virtualization，NFV)技术来实现各网络设备或网络设备。各网络设备或网络设备为虚拟主机、虚拟路由器或虚拟交换机。本领域技术人员通过阅读本申请即可结合NFV技术在通用物理服务器上虚拟出具有上述功能的各网络设备或网络设备，此处不再赘述。

应理解，上述各种产品形态的网络设备，分别具有上述方法实施例中各网络设备或通信设备的任意功能，此处不再赘述。

本申请实施例还提供了一种芯片，包括处理器和接口电路，接口电路，用于接收指令并传输至处理器；处理器，例如可以是本申请实施例中报文处理装置的一种具体实现形式，可以用于执行上述路由选路的方法。其中，所述处理器与存储器耦合，所述存储器用于存储程序或指令，当所述程序或指令被所述处理器执行时，使得该芯片系统实现上述任一方法实施例中的方法。

可选地，该芯片系统中的处理器可以为一个或多个。该处理器可以通过硬件实现也可以通过软件实现。当通过硬件实现时，该处理器可以是逻辑电路、集成电路等。当通过软件实现时，该处理器可以是一个通用处理器，通过读取存储器中存储的软件代码来实现。

可选地，该芯片系统中的存储器也可以为一个或多个。该存储器可以与处理器集成在一起，也可以和处理器分离设置，本申请并不限定。示例性的，存储器可以是非瞬时性处理器，例如只读存储器ROM，其可以与处理器集成在同一块芯片上，也可以分别设置在不同的芯片上，本申请对存储器的类型，以及存储器与处理器的设置方式不作具体限定。

示例性的，该芯片系统可以是现场可编程门阵列(field programmable gatearray，FPGA)，可以是专用集成芯片(application specific integrated circuit，ASIC)，还可以是系统芯片(system on chip，SoC)，还可以是中央处理器(central processorunit，CPU)，还可以是网络处理器(networkprocessor，NP)，还可以是数字信号处理电路(digital signal processor，DSP)，还可以是微控制器(micro controller unit，MCU)，还可以是可编程控制器(programmable logic device，PLD)或其他集成芯片。

此外，本申请实施例还提供了一种通信系统900，参见图9。该通信系统900可以包括：服务器901和至少一个网络设备902。其中，服务器901，用于执行以上方法中任意一种可能的实现方式中服务器相应的步骤；至少一个网络设备902，用于执行以上方法中任意一种可能的实现方式中各网络设备(包括第一网络设备)相应的步骤。

此外，本申请实施例还提供了一种计算机可读存储介质，计算机可读存储介质中存储有程序代码或指令，当其在计算机上运行时，使得计算机执行以上图1或图3所示实施例中任意一种实现方式下的方法。

此外，本申请实施例还提供了一种计算机程序产品，当其在计算机上运行时，使得计算机执行前述方法100中任意一种实现方式的方法。

应理解，本申请实施例中提到的“基于根据A确定B”并不意味着仅仅根据A确定B，还可以根据A和/或其它信息确定B。

本申请中提到的“第一网络设备”、“第一应用集合”等名称中的“第一”只是用来做名字标识，并不代表顺序上的第一。该规则同样适用于“第二”等。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到上述实施例方法中的全部或部分步骤可借助软件加通用硬件平台的方式来实现。基于这样的理解，本申请的技术方案可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如只读存储器(英文：read-only memory，ROM)/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者诸如路由器等网络通信设备)执行本申请各个实施例或者实施例的某些部分所述的方法。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例和设备实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的设备及系统实施例仅仅是示意性的，其中作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅是本申请的优选实施方式，并非用于限定本申请的保护范围。应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本申请的保护范围。

Claims (33)

1.一种威胁检测规则的推荐方法，其特征在于，所述方法包括：

获取第一网络设备的应用数据，所述应用数据包括所述第一网络设备关联的应用的应用类型和各应用类型所指示的应用的被访问频率和/或被攻击频率；

根据所述第一网络设备的应用数据，为所述第一网络设备推荐威胁检测规则集合，所述威胁检测规则集合包括所述应用数据中的应用类型适用的威胁检测规则。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

接收所述第一网络设备发送的告警数据，所述告警数据用于指示所述第一网络设备关联的应用被攻击的情况；

基于所述告警数据确定所述应用数据。

3.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：

接收所述第一网络设备发送的元数据，所述元数据用于描述所述第一网络设备关联的应用的被访问的情况；

基于所述元数据确定所述应用数据。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

接收所述第一网络设备发送的所述应用数据。

5.根据权利要求1-4任一项所述的方法，其特征在于，所述根据所述第一网络设备的应用数据，为所述第一网络设备推荐威胁检测规则集合，包括：

对多个网络设备的应用数据进行聚类，以获取至少一个聚类簇，每个聚类簇包括所述多个网络设备中的至少一个网络设备的应用数据，所述多个网络设备包括所述第一网络设备；

基于第一聚类簇包括的应用数据获取第一应用集合，所述第一应用集合包括所述第一聚类簇中的至少一个网络设备的应用数据指示的应用，所述至少一个聚类簇包括所述第一聚类簇，所述第一聚类簇包括所述第一网络设备的应用数据；

基于所述第一应用集合确定所述威胁检测规则集合。

6.根据权利要求1-4任一项所述的方法，其特征在于，所述根据所述第一网络设备的应用数据，为所述第一网络设备推荐威胁检测规则集合，包括：

基于所述第一网络设备的应用数据和推荐模型，获取第一应用集合，所述推荐模型是基于多个网络设备的应用数据训练得到的；

基于所述第一应用集合确定所述威胁检测规则集合。

7.根据权利要求5或6所述的方法，其特征在于，所述基于所述第一应用集合确定所述威胁检测规则集合，包括：

根据威胁检测规则库和所述第一应用集合，确定所述威胁检测规则集合，所述威胁检测规则库中的威胁检测规则包括指示信息，所述指示信息指示所述威胁检测规则所适用的应用类型。

8.根据权利要求5-7任一项所述的方法，其特征在于，所述方法还包括：

获取第二应用集合，所述第二应用集合是根据所述至少一个聚类簇获取的，或者，所述第二应用集合是根据所述推荐模型获取的；

获取第三应用集合，所述第三应用集合包括的应用存在于所述第一应用集合且所述第三应用集合包括的应用不存在于所述第二应用集合；

基于所述第三应用集合，更新所述威胁检测规则库。

9.根据权利要求8所述的方法，其特征在于，所述基于所述第三应用集合更新所述威胁检测库，包括：

针对所述第三应用集合中的任一应用，周期性的检测与所述任一应用关联的威胁检测规则数据库，以获取所述威胁检测数据库中更新的威胁检测规则；

基于所述更新的威胁检测规则更新所述威胁检测规则库。

10.根据权利要求1-9任一项所述的方法，其特征在于，所述威胁检测规则的类型包括：入侵防御系统IPS规则、入侵检测系统IDS规则、终端上规则引擎或WAF规则引擎。

11.一种威胁检测规则的推荐方法，其特征在于，所述方法包括：

获取多个网络设备的应用数据，任一网络设备的应用数据包括所述任一网络设备关联的应用的应用类型和各应用类型所指示的应用的被访问频率和/或被攻击频率；

根据所述多个网络设备的应用数据，训练推荐模型，所述推荐模型用于推荐威胁检测规则。

12.一种威胁检测规则的推荐方法，其特征在于，所述方法包括：

发送网络设备的应用数据，所述应用数据包括所述网络设备关联的应用的应用类型和各应用类型所指示的应用的被访问频率和/或被攻击频率；

接收威胁检测规则集合，所述威胁检测规则集合为基于所述网络设备的应用数据确定的，所述威胁检测规则集合包括所述应用数据中的应用类型适用的威胁检测规则。

13.根据权利要求12所述的方法，其特征在于，所述发送网络设备的应用数据之前，所述方法还包括：

获取所述网络设备生成的告警数据，所述告警数据用于指示所述网络设备关联的应用被攻击的情况；

基于所述告警数据确定所述应用数据。

14.根据权利要求12所述的方法，其特征在于，所述发送网络设备的应用数据之前，所述方法还包括：

获取所述网络设备生成的元数据，所述元数据用于描述所述网络设备关联的应用的被访问情况；

基于所述元数据确定所述应用数据。

15.根据权利要求12-14任一项所述的方法，其特征在于，所述方法还包括：

基于所述威胁检测规则集合更新本地维护的威胁检测规则，所述本地维护的威胁检测规则为所述网络设备上用于威胁检测的威胁检测规则，更新后的所述本地维护的威胁检测规则包括所述威胁检测规则集合中的威胁检测规则。

16.一种威胁检测规则的推荐装置，其特征在于，所述装置包括：

第一获取单元，用于获取第一网络设备的应用数据，所述应用数据包括所述第一网络设备关联的应用的应用类型和各应用类型所指示的应用的被访问频率和/或被攻击频率；

推荐单元，用于根据所述第一网络设备的应用数据，为所述第一网络设备推荐威胁检测规则集合，所述威胁检测规则集合包括所述应用数据中的应用类型适用的威胁检测规则。

17.根据权利要求16所述的装置，其特征在于，所述第一获取单元，具体用于：

接收所述第一网络设备发送的所述应用数据。

18.根据权利要求16所述的装置，其特征在于，所述第一获取单元，具体用于：

接收所述第一网络设备发送的告警数据，所述告警数据用于指示所述第一网络设备关联的应用被攻击的情况；

基于所述告警数据确定所述应用数据。

19.根据权利要求16所述的装置，其特征在于，所述第一获取单元，具体用于：

接收所述第一网络设备发送的元数据，所述元数据用于描述所述第一网络设备关联的应用的被访问的情况；

基于所述元数据确定所述应用数据。

20.根据权利要求16-19任一项所述的装置，其特征在于，所述推荐单元，包括：

聚类子单元，用于对多个网络设备的应用数据进行聚类，以获取至少一个聚类簇，每个聚类簇包括所述多个网络设备中的至少一个网络设备的应用数据，所述多个网络设备包括所述第一网络设备；

获取子单元，用于基于第一聚类簇包括的应用数据获取第一应用集合，所述第一应用集合包括所述第一聚类簇中的至少一个网络设备的应用数据指示的应用，所述至少一个聚类簇包括所述第一聚类簇，所述第一聚类簇包括所述第一网络设备的应用数据；

确定子单元，用于基于所述第一应用集合确定所述威胁检测规则集合。

21.根据权利要求16-19任一项所述的装置，其特征在于，所述推荐单元，包括：

获取子单元，用于基于所述第一网络设备的应用数据和推荐模型，获取第一应用集合，所述推荐模型是基于多个网络设备的应用数据训练得到的；

确定子单元，用于基于所述第一应用集合确定所述威胁检测规则集合。

22.根据权利要求20或21所述的装置，其特征在于，所述确定子单元，具体用于：

根据威胁检测规则库和所述第一应用集合，确定所述威胁检测规则集合，所述威胁检测规则库中的威胁检测规则包括指示信息，所述指示信息用于指示所述威胁检测规则所适用的应用类型。

23.根据权利要求20-22任一项所述的装置，其特征在于，所述装置还包括：

第二获取单元，用于获取第二应用集合，所述第二应用集合是根据所述至少一个聚类簇获取的，或者，所述第二应用集合是根据所述推荐模型获取的；

第三获取单元，用于获取第三应用集合，所述第三应用集合包括的应用存在于所述第一应用集合且所述第三应用集合包括的应用不存在于所述第二应用集合；

更新单元，用于基于所述第三应用集合更新所述威胁检测规则库。

24.根据权利要求23所述的装置，其特征在于，所述更新单元，具体用于：

针对所述第三应用集合中的任一应用，周期性的检测与所述任一应用关联的威胁检测规则数据库，以获取所述威胁检测数据库中更新的威胁检测规则；

基于所述更新的威胁检测规则更新所述威胁检测规则库。

25.根据权利要求16-24任一项所述的装置，其特征在于，所述威胁检测规则的类型包括：入侵防御系统IPS规则、入侵检测系统IDS规则、终端上规则引擎或WAF规则引擎。

26.一种威胁检测规则的推荐装置，其特征在于，所述装置包括：

获取单元，用于获取多个网络设备的应用数据，任一网络设备的应用数据包括所述任一网络设备关联的应用的应用类型和各应用类型所指示的应用的被访问频率和/或被攻击频率；

训练单元，用于根据所述多个网络设备的应用数据，训练推荐模型，所述推荐模型用于推荐威胁检测规则。

27.一种威胁检测规则的推荐装置，其特征在于，应用于网络设备，所述装置包括：

发送单元，用于发送所述网络设备的应用数据，所述应用数据包括所述网络设备关联的应用的应用类型和各应用类型所指示的应用的被访问频率和/或被攻击频率；

接收单元，用于接收威胁检测规则集合，所述威胁检测规则集合为基于所述网络设备的应用数据确定的，所述威胁检测规则集合包括所述应用数据中的应用类型适用的威胁检测规则。

28.根据权利要求27所述的装置，其特征在于，所述装置还包括：

获取单元，用于获取所述网络设备生成的告警数据，所述告警数据用于指示所述网络设备关联的应用被攻击的情况；

确定单元，用于基于所述告警数据确定所述应用数据。

29.根据权利要求27所述的装置，其特征在于，所述装置还包括：

获取单元，用于获取所述网络设备生成的元数据，所述元数据用于描述所述网络设备关联的应用的被访问情况；

确定单元，用于基于所述元数据确定所述应用数据。

30.根据权利要求27-29任一项所述的装置，其特征在于，所述装置还包括：

更新单元，用于基于所述威胁检测规则集合更新本地维护的威胁检测规则，所述本地维护的威胁检测规则为所述网络设备上用于威胁检测的威胁检测规则，更新后的所述本地维护的威胁检测规则包括所述威胁检测规则集合中的威胁检测规则。

31.一种威胁检测规则的推荐系统，所述系统包括服务器和至少一个网络设备，

所述服务器，用于执行权利要求1-11任一项所述的方法；

所述至少一个网络设备中的每个网络设备，用于执行权利要求12-15任一项所述的方法。

32.一种计算机设备，其特征在于，所述计算机设备包括处理器和存储器；

所述处理器用于执行所述存储器中存储的指令，以使得所述计算机设备执行权利要求1-15任一项所述的方法。

33.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有指令，当其在计算机设备上运行时，使得所述计算机设备执行如权利要求1-15任一项所述的方法。