WO2023029066A1

WO2023029066A1 - 流式数据的特征提取方法及装置、存储介质、计算机设备

Info

Publication number: WO2023029066A1
Application number: PCT/CN2021/117111
Authority: WO
Inventors: 辜乘风; 徐�明; 魏国富; 殷钱安; 周晓勇; 陶景龙; 余贤喆; 梁淑云; 刘胜; 王启凡; 马影
Original assignee: 上海观安信息技术股份有限公司
Priority date: 2021-08-30
Filing date: 2021-09-08
Publication date: 2023-03-09
Also published as: CN113452581A; CN113452581B

Abstract

本申请公开了一种流式数据的特征提取方法及装置、存储介质、计算机设备，该方法包括：接收流式数据，并获取所述流式数据对应的网络安全特征提取需求，其中，所述网络安全特征提取需求包括至少一个待提取的目标维度以及至少一个待提取的目标特征；依据所述目标维度以及所述目标特征，生成特征数据提取器；利用所述特征数据提取器，提取所述流式数据中与所述目标维度以及所述目标特征对应的网络安全特征数据。本申请通过构建特征数据提取器，并通过特征数据提取器提取流式数据的网络安全特征数据，能够对流式数据进行即时性特征提取，在充分发挥流式数据的低延迟性特点的同时，减少资源的占用量。

Description

流式数据的特征提取方法及装置、存储介质、计算机设备

技术领域

本申请涉及数据处理技术领域，尤其是涉及到一种流式数据的特征提取方法及装置、存储介质、计算机设备。

背景技术

流式数据是一组顺序、大量、快速、连续到达的数据序列，是一种随时间延续而不断增加的动态数据集合。由于流式数据具有低延迟、高吞吐的特性，因而被广泛应用于对数据实时性要求较高的业务中，例如失陷主机判断、DNS请求数量提取等网络安全业务。

网络安全业务中，大部分流式数据均需要经过特征提取后再加以应用，而当前在对流式数据进行特征提取时，通常根据网络安全业务实际情况，预先设定时间周期，之后按照该时间周期对流式数据进行统一处理，提取出想要的特征。这种特征提取方法一方面无法充分发挥流式数据的低延迟的特点，一方面按照时间周期对流式数据统一进行特征提取前，需要对这些流式数据进行统一存储，当流式数据的吞吐量较高时，需要占用大量的主机资源。

因此，如何对网络安全业务中的流式数据进行即时性特征提取，在充分发挥流式数据的低延迟性特点的同时，减少资源的占用量，成为了本领域亟待解决的问题。

发明内容

有鉴于此，本申请提供了一种流式数据的特征提取方法及装置、存储介质、计算机设备，能够对网络安全业务中的流式数据进行即时性特征提取，在充分发挥流式数据的低延迟性特点的同时，减少资源的占用量。

根据本申请的一个方面，提供了一种流式数据的特征提取方法，包括：

接收流式数据，并获取所述流式数据对应的网络安全特征提取需求，其中，所述网络安全特征提取需求包括至少一个待提取的目标维度以及至少一个待提取的目标特征，所述目标维度包括IP维度、时间维度以及mac局域网地址维度中的至少一种，所述目标特征包括DNS请求数量特征、ICMP请求数量特征、HTTP请求数量特征、DNS域名集合特征以及页面访问次数特征中的至少一种；

依据所述目标维度以及所述目标特征，生成特征数据提取器；

利用所述特征数据提取器，提取所述流式数据中与所述目标维度以及所述目标特征对应的网络安全特征数据。

可选地，所述网络安全特征提取需求包括请求DNS域名去重数量，所述请求DNS域名去重数量包括所述IP维度以及所述DNS域名集合特征。

可选地，所述获取所述流式数据对应的网络安全特征提取需求之前，所述方法还包括：

依据预设数据筛选条件，对所述流式数据进行筛选，其中，所述预设数据筛选条件包括预设数据协议。

可选地，所述依据所述目标维度以及所述目标特征，生成特征数据提取器，具体包括：

分别依据每个目标特征，建立与所述每个目标特征各自匹配的特征数据提取工具；

依据所述目标维度、所述目标特征以及所述特征数据提取工具，生成所述特征数据提取器，其中，所述特征数据提取器包括提取器头部以及提取器主体，所述提取器头部用于指示所述目标维度以及所述目标特征，所述提取器主体包括所述特征数据提取工具。

可选地，所述利用所述特征数据提取器，提取所述流式数据中与所述目标维度以及所述目标特征对应的网络安全特征数据，具体包括：

将所述流式数据输入到所述特征数据提取器中，以使所述特征数据提取器按所述目标维度对所述流式数据进行分组，并从分组后的流式数据中提取出与所述目标特征匹配的网络安全特征数据。

可选地，所述提取所述流式数据中与所述目标维度以及所述目标特征对应的网络安全特征数据之后，所述方法还包括：

基于所述特征数据提取器的提取器头部以及所述网络安全特征数据，生成特征数据集合列表，其中，所述特征数据集合列表包括第一表头、第二表头以及与每个第一表头和每个第二表头对应的列表结果，所述第一表头包括所述目标维度，所述第二表头包括所述目标特征，所述列表结果包括与每个目标维度和每个目标特征对应的所述网络安全特征数据。

可选地，所述生成特征数据集合列表之后，所述方法还包括：

响应于样本数据获取指令，从所述特征数据集合列表中查找与所述样本数据获取指令相对应的目标特征数据，其中，所述样本数据获取指令包括任意第一表头和/或任意第二表头，所述样本数据获取指令用于获取模型训练样本；

判断所述目标特征数据是否为数值型数据，并当所述目标特征数据为非数值型数据时，基于所述目标特征数据的数据类型，调用对应的数据处理模型；

依据所述数据处理模型，将所述目标特征数据转化为数值型数据，以利用转化后的目标特征数据进行模型训练。

可选地，所述基于所述特征数据提取器的提取器头部以及所述网络安全特征数据，生成特征数据集合列表之前，所述方法还包括：

判断所述网络安全特征数据是否为数值型数据，并当所述网络安全特征数据为非数值型数据时，基于所述网络安全特征数据的数据类型，调用对应的数据处理模型；

依据所述数据处理模型，将所述网络安全特征数据转化为数值型数据，以利用转化后的网络安全特征数据生成特征数据集合列表。

可选地，所述接收流式数据之前，所述方法还包括：

接收模型训练任务；

分析执行所述模型训练任务所需的训练样本特征，并依据所述训练样本特征，确定所述网络安全特征提取需求；

相应地，所述生成特征数据集合列表之后，所述方法还包括：

读取所述特征数据集合列表中各表头对应的网络安全特征数据，并依据读取出的网络安全特征数据建立所述模型训练任务对应的训练样本集；

利用所述训练样本集，训练所述模型。

根据本申请的另一方面，提供了一种流式数据的特征提取装置，包括：

需求获取模块，接收流式数据，并获取所述流式数据对应的网络安全特征提取需求，其中，所述网络安全特征提取需求包括至少一个待提取的目标维度以及至少一个待提取的目标特征，所述目标维度包括IP维度、时间维度以及mac局域网地址维度中的至少一种，所述目标特征包括DNS请求数量特征、ICMP请求数量特征、HTTP请求数量特征、DNS域名集合特征以及页面访问次数特征中的至少一种；

提取器生成模块，用于依据所述目标维度以及所述目标特征，生成特征数据提取器；

特征数据提取模块，利用所述特征数据提取器，提取所述流式数据中与所述目标维度以及所述目标特征对应的网络安全特征数据。

可选地，所述装置还包括：

流式数据筛选模块，用于所述获取所述流式数据对应的网络安全特征提取需求之前，依据预设数据筛选条件，对所述流式数据进行筛选，其中，所述预设数据筛选条件包括预设数据协议。

可选地，所述提取器生成模块，具体包括：

提取工具建立单元，用于分别依据每个目标特征，建立与所述每个目标特征各自匹配的特征数据提取工具；

提取器生成单元，用于依据所述目标维度、所述目标特征以及所述特征数据提取工具，生成所述特征数据提取器，其中，所述特征数据提取器包括提取器头部以及提取器主体，所述提取器头部用于指示所述目标维度以及所述目标特征，所述提取器主体包括所述特征数据提取工具。

可选地，所述特征数据提取模块，具体用于：

可选地，所述装置还包括：

列表生成模块，用于所述提取所述流式数据中与所述目标维度以及所述目标特征对应的网络安全特征数据之后，基于所述特征数据提取器的提取器头部以及所述网络安全特征数据，生成特征数据集合列表，其中，所述特征数据集合列表包括第一表头、第二表头以及与每个第一表头和每个第二表头对应的列表结果，所述第一表头包括所述目标维度，所述第二表头包括所述目标特征，所述列表结果包括与每个目标维度和每个目标特征对应的所述网络安全特征数据。

可选地，所述装置还包括：

查找模块，用于根据样本数据获取指令，从所述特征数据集合列表中查找与所述样本数据获取指令相对应的目标特征数据，其中，所述样本数据获取指令包括任意第一表头和/或任意第二表头，所述样本数据获取指令用于获取模型训练样本；

判断模块，用于判断所述目标特征数据是否为数值型数据，并当所述目标特征数据为非数值型数据时，基于所述目标特征数据的数据类型，调用对应的数据处理模型；

转化模块，用于依据所述数据处理模型，将所述目标特征数据转化为数值型数据，以利用转化后的目标特征数据进行模型训练。

可选地，所述装置还包括：

判断模块，用于所述基于所述特征数据提取器的提取器头部以及所述网络安全特征数据，生成特征数据集合列表之前，判断所述网络安全特征数据是否为数值型数据，并当所述网络安全特征数据为非数值型数据时，基于所述网络安全特征数据的数据类型，调用对应的数据处理模型；

转化模块，用于依据所述数据处理模型，将所述网络安全特征数据转化为数值型数据，以利用转化后的网络安全特征数据生成特征数据集合列表。

可选地，所述装置还包括：

训练任务接收模块，用于所述接收流式数据之前，接收模型训练任务；

需求确定模块，用于分析执行所述模型训练任务所需的训练样本特征，并依据所述训练样本特征，确定所述网络安全特征提取需求；

相应地，所述装置还包括：

训练样本集确定模块，用于在生成所述特征数据集合列表之后，读取所述特征数据集合列表中各表头对应的网络安全特征数据，并依据读取出的网络安全特征数据建立所述模型训练任务对应的训练样本集；

模型训练模块，用于利用所述训练样本集，训练所述模型。

依据本申请又一个方面，提供了一种存储介质，其上存储有计算机程序，所述程序被处理器执行时实现上述流式数据的特征提取方法。

依据本申请再一个方面，提供了一种计算机设备，包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述流式数据的特征提取方法。

借由上述技术方案，本申请提供的一种流式数据的特征提取方法及装置、存储介质、计算机设备，接收流式数据，并获取需要对流式数据进行网络安全特征数据提取的网络安全特征提取需求，对网络安全特征提取需求进行解析，获取其中待提取的至少一个目标维度以及待提取的至少一个目标特征，根据目标维度和目标特征，生成特征数据提取器，进而根据生成的特征数据提取器，提取接收的流式数据的网络安全特征数据。本申请通过构建特征数据提取器，并通过特征数据提取器提取流式数据的网络安全特征数据，能够对流式数据进行即时性特征提取，在充分发挥流式数据的低延迟性特点的同时，减少资源的占用量。

上述说明仅是本申请技术方案的概述，为了能够更清楚了解本申请的技术手段，而可依照说明书的内容予以实施，并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂，以下特举本申请的具体实施方式。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1示出了本申请实施例提供的一种流式数据的特征提取方法的流程示意图；

图2示出了本申请实施例提供的另一种流式数据的特征提取方法的流程示意图；

图3示出了本申请实施例提供的一种特征数据提取器的结构示意图；

图4示出了本申请实施例提供的一种特征数据集合列表的结构示意图；

图5示出了本申请实施例提供的一种流式数据的特征提取装置的结构示意图。

具体实施方式

下文中将参考附图并结合实施例来详细说明本申请。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

在本实施例中提供了一种流式数据的特征提取方法，如图1所示，该方法包括：

步骤101，接收流式数据，并获取所述流式数据对应的网络安全特征提取需求，其中，所述网络安全特征提取需求包括至少一个待提取的目标维度以及至少一个待提取的目标特征，所述目标维度包括IP维度、时间维度以及mac局域网地址维度中的至少一种，所述目标特征包括DNS请求数量特征、ICMP请求数量特征、HTTP请求数量特征、DNS域名集合特征以及页面访问次数特征中的至少一种；

本申请实施例中，流式数据可以用于确定失陷主机、提取DNS请求数量等网络安全业务中。本申请实施例提供的流式数据特征提取方法，接收流式数据，并获取需要对流式数据进行网络安全特征数据提取的网络安全特征提取需求。对网络安全特征提取需求进行解析，获取其中待提取的目标维度以及待提取的目标特征，待提取的目标维度以及待提取的目标特征均至少为一个，由于不同的业务可能有不同的网络安全特征数据提取需求，因此待提取的目标维度以及待提取的目标特征均也可以是多个。例如，目标维度可以是IP维度、时间维度以及mac局域网地址维度等，目标特征可以是DNS(Domain Name System，计算机域名)请求数量特征、ICMP(Intemet Control Message Protocol，因特网控制报文协议)请求数量特征、HTTP(HyperText Transfer Protoco，超文本传输协议)请求数量特征、DNS域名集合特征以及页面访问次数特征等。例如，以查找内网中失陷主机的场景为例，由于研究对象是内网的主机，所以可以将内网主机IP作为目标维度进行特征提取，或者可以将内网主机IP以及时间共同作为目标维度。

步骤102，依据所述目标维度以及所述目标特征，生成特征数据提取器；

在该实施例中，获取目标维度和目标特征之后，根据目标维度和目标特征，生成特征数据提取器。如果目标特征有多个，那么根据不同的目标特征与全部目标维度，生成特征数据提取器。例如，某一网络安全特征提取需求中包括2个目标维度(分别是目标维度A与目标维度B)，3个目标特征(分别是目标特征a，目标特征b以及目标特征c)，那么相应生成3个特征数据提取器(分别是特征数据提取器1、特征数据提取器2以及特征数据提取器3)，特征数据提取器1可以是基于目标维度A、目标维度B与目标特征a生成的，特征数据提取器2可以是基于目标维度A、目标维度B与目标特征b生成的，特征数据提取器3可以是基于目标维度A、目标维度B与目标特征c生成的。以上关于特征数据提取器的说明仅为一种举例说明，其并不应限制本申请的保护范围。

步骤103，利用所述特征数据提取器，提取所述流式数据中与所述目标维度以及所述目标特征对应的网络安全特征数据。

在该实施例中，根据生成的特征数据提取器，提取接收的流式数据的网络安全特征数据，网络安全特征数据和目标维度以及目标特征相对应。例如，当需要提取内网中主机发出的DNS请求数量特征时，目标特征可以为内网中主机发出的DNS请求数量，目标维度可以是主机IP地址，根据DNS请求数量以及主机IP地址，生成对应的特征数据提取器，并根据该特征数据提取器，提取流式数据中的具体DNS请求数量数值。

通过应用本实施例的技术方案，接收流式数据，并获取需要对流式数据进行网络安全特征数据提取的网络安全特征提取需求，对网络安全特征提取需求进行解析，获取其中待提取的至少一个目标维度以及待提取的至少一个目标特征，根据目标维度和目标特征，生成特征数据提取器，进而根据生成的特征数据提取器，提取接收的流式数据的网络安全特征数据。本申请通过构建特征数据提取器，并通过特征数据提取器提取流式数据的网络安全特征数据，能够对流式数据进行即时性特征提取，在充分发挥流式数据的低延迟性特点的同时，减少资源的占用量。

进一步的，作为上述实施例具体实施方式的细化和扩展，为了完整说明本实施例的具体实施过程，提供了另一种流式数据的特征提取方法，如图2所示，该方法包括：

步骤201，接收流式数据，依据预设数据筛选条件，对所述流式数据进行筛选，其中，所述预设数据筛选条件包括预设数据协议；

在该实施例中，接收到流式数据后，根据预设的数据筛选条件，筛选接收到的流式数据，满足预设数据筛选条件的流式数据，可以进入后续处理。对于不同的网络安全业务，预设的数据筛选条件也可能存在不同。由于流式数据数据量巨大，并且格式繁多，所以通常将数据协议包括在预设的数据筛选条件中，通过预设的数据协议筛选掉一部分流式数据。例如，以网络流量分析场景为例，获取的流式数据中包含了大量的不同数据协议类型，包括DNS协议、TCP协议或UDP协议等，如果在具体场景中只需要提取DNS数据协议的流式数据的网络安全特征数据时，可以对获取的流式数据进行初步筛选，筛选出符合DNS数据协议类型的流式数据，并进行后续操作。本申请实施例通过预设数据筛选条件，对接收的流式数据进行筛选，有利于减少流式数据的处理量，降低计算机的资源占用，提高流式数据处理效率。

步骤202，获取所述流式数据对应的网络安全特征提取需求，其中，所述网络安全特征提取需求包括至少一个待提取的目标维度以及至少一个待提取的目标特征，所述目标维度包括IP维度、时间维度以及mac局域网地址维度中的至少一种，所述目标特征包括DNS请求数量特征、ICMP请求数量特征、HTTP请求数量特征、DNS域名集合特征以及页面访问次数特征中的至少一种；

步骤203，依据所述目标维度以及所述目标特征，生成特征数据提取器；

在本申请实施例中，可选地，步骤203具体包括：

分别依据每个目标特征，建立与所述每个目标特征各自匹配的特征数据提取工具；依据所述目标维度、所述目标特征以及所述特征数据提取工具，生成所述特征数据提取器，其中，所述特征数据提取器包括提取器头部以及提取器主体，所述提取器头部用于指示所述目标维度以及所述目标特征，所述提取器主体包括所述特征数据提取工具。

在该实施例中，确定至少一个待提取的目标维度以及至少一个待提取的目标特征后，分别根据每个目标特征，建立与该目标特征相匹配的特征数据提取工具，进而以目标维度、目标特征以及特征数据提取工具，生成特征数据提取器。特征数据提取器主要包括两个组成部分，一个部分是提取器头部，一个部分是提取器主体。提取器头部可以指示目标维度以及目标特征，提取器主体可以包括与目标维度与目标特征相对应的特征数据提取工具。例如，目标特征可以是流式数据的最大值，那么对应的特征数据提取工具可以是函数方法即MAX()函数。每当一个流式数据输入后，动态计算经过目标维度过滤后的流式数据的最大值，对应的网络安全特征数据可以根据MAX()函数进行更新，并将最后的最大值作为网络安全特征数据。特征数据提取器的结构如图3所示。

步骤204，利用所述特征数据提取器，提取所述流式数据中与所述目标维度以及所述目标特征对应的网络安全特征数据；在本申请实施例中，可选地，步骤204具体包括：

在该实施例中，生成特征数据提取器后，将流式数据输入到该特征数据提取器中，特征数据提取器接收到流式数据后，依据目标维度找到当前数据在特征提取器中所属的分组，若分组不存在则新建分组，之后通过特征数据提取工具从分组后的流式数据中，提取出和目标特征匹配的网络安全特征数据并更新到当前流式数据所在的分组。例如，当目标维度为主机IP地址时，某一时刻包含IP＝192.168.10.10信息的流式数据进入特征提取器后，特征提取器会根据IP＝192.168.10.10找到目标维度为192.168.10.10的分组，提取出网络安全特征数据后将192.168.10.10分组的网络安全特征数据进行更新。本申请实施例通过特征数据提取器中的目标维度分组当前流式数据，再对分组后的流式数据进行网络安全特征数据的提取和更新，每次接收数据只需对该数据对应的分组数值进行更新，其他分组则不变，提升流式数据的网络安全特征数据的提取效率。

步骤205，基于所述特征数据提取器的提取器头部以及所述网络安全特征数据，生成特征数据集合列表，其中，所述特征数据集合列表包括第一表头、第二表头以及与每个第一表头和每个第二表头对应的列表结果，所述第一表头包括所述目标维度，所述第二表头包括所述目标特征，所述列表结果包括与每个目标维度和每个目标特征对应的所述网络安全特征数据；

在该实施例中，接收筛选过的流式数据，获取对应的网络安全特征提取需求，网络安全特征提取需求中可以包括至少一个待提取的目标维度以及至少一个待提取的目标特征，之后根据目标维度和目标特征，生成对应的特征数据提取器，并通过特征数据提取器提取对应的网络安全特征数据。

进一步，以特征数据提取器的提取器头部和经过特征数据提取器提取的网络安全特征数据为基础，生成特征数据集合列表。特征数据集合列表可以包括三个组成部分，分别是第一表头部分、第二表头部分以及列表结果部分，其中每一个列表结果分别对应一个第一表头和一个第二表头。第一表头可以是目标维度，第二表头可以是目标特征，列表结果可以是与每个目标维度和每个目标特征对应的网络安全特征数据。本申请实施例通过生成特征数据集合列表，有利于工作人员查看和使用想要的网络安全特征数据，方便相关工作人员的操作。

步骤206，响应于样本数据获取指令，从所述特征数据集合列表中查找与所述样本数据获取指令相对应的目标特征数据，其中，所述样本数据获取指令包括任意第一表头和/或任意第二表头，所述样本数据获取指令用于获取模型训练样本；

在该实施例中，生成特征数据集合列表后，当相关工作人员想要利用特征数据集合列表中的网络安全特征数据时，响应于样本数据获取指令，从特征数据集合列表中查找和样本数据获取指令相对应的目标特征数据。具体可以从样本数据获取指令中解析出对应的任意第一表头和/或任意第二表头，根据第一表头和第二表头，查找对应的目标特征数据。样本数据获取指令用于从特征数据集合列表中获取目标特征数据，进而将目标特征数据作为模型训练的样本。

步骤207，判断所述目标特征数据是否为数值型数据，并当所述目标特征数据为非数值型数据时，基于所述目标特征数据的数据类型，调用对应的数据处理模型；

在该实施例中，查找到目标特征数据后，判断目标特征数据是否是数值型数据。由于目标特征数据用于训练模型，作为机器学习模型的输入，需要保证目标特征数据在输入机器学习模型前是数值型数据，而经过特征数据提取器提取的网络安全特征数据，可能有多种类型，例如集合、字典、元组等数据类型。当目标特征数据为非数值型数据时，根据目标特征数据的数据类型，调用与数据类型相对应的数据处理模型。例如，当目标特征数据为主机请求DNS域名的去重个数时，特征数据提取器返回的是一个包含所有DNS域名的数据集合，调用对应的数据处理模型，统计这个DNS域名的集合长度，最终得到的目标特征数据为DNS域名去重个数。

步骤208，依据所述数据处理模型，将所述目标特征数据转化为数值型数据，以利用转化后的目标特征数据进行模型训练。

在该实施例中，根据数据处理模型，将非数值型的目标特征数据转化成数值型数据，进而可以利用转化之后的目标特征数据进行模型训练。

在本申请实施例中，可选地，所述网络安全特征提取需求包括请求DNS域名去重数量，所述请求DNS域名去重数量包括所述IP维度以及所述DNS域名集合特征。

进一步的，本申请实施例提供了另一种流式数据的特征提取方法，该方法包括：

步骤301，接收模型训练任务；分析执行所述模型训练任务所需的训练样本特征，并依据所述训练样本特征，确定所述网络安全特征提取需求；

在该实施例中，工作人员想要训练模型时，接收模型训练任务，并分析想要执行该模型训练任务都需要哪些训练样本特征，进一步根据训练样本特征，确定对应的网络安全特征提取需求。训练样本特征可以包括输入到模型中的训练样本对应的训练样本特征和从模型输出的训练样本对应的训练样本特征，进而分别确定模型输入训练样本的网络安全特征提取需求，以及模型输出训练样本的网络安全特征提取需求。例如，当工作人员想要训练网速识别模型时，接收网速识别模型的训练任务，并根据工作人员的输入确定该训练任务分析需要的训练样本特征，进而确定网络安全特征提取需求。本申请实施例通过接收模型训练任务，确定需要的训练样本特征，进而确定对应的网络安全特征提取需求，以便于后续自动根据网络安全特征提取需求提取用于模型训练的网络安全特征数据，提升用于训练模型的网络安全特征数据的获取效率。

步骤302，接收流式数据，并获取所述流式数据对应的网络安全特征提取需求，其中，所述网络安全特征提取需求包括至少一个待提取的目标维度以及至少一个待提取的目标特征；

步骤303，依据所述目标维度以及所述目标特征，生成特征数据提取器；

步骤304，利用所述特征数据提取器，提取所述流式数据中与所述目标维度以及所述目标特征对应的网络安全特征数据；

在该实施例中，接收流式数据，获取对应的网络安全特征提取需求，网络安全特征提取需求中可以包括至少一个待提取的目标维度以及至少一个待提取的目标特征，之后根据目标维度和目标特征，生成对应的特征数据提取器，并通过特征数据提取器提取对应的网络安全特征数据。

步骤305，判断所述网络安全特征数据是否为数值型数据，并当所述网络安全特征数据为非数值型数据时，基于所述网络安全特征数据的数据类型，调用对应的数据处理模型；

步骤306，依据所述数据处理模型，将所述网络安全特征数据转化为数值型数据，以利用转化后的网络安全特征数据生成特征数据集合列表；

在该实施例中，根据特征数据提取器提取出对应的网络安全特征数据后，还可以对网络安全特征数据逐个进行判断，当发现有网络安全特征数据为非数值型数据时，以网络安全特征数据的数据类型为基础，调用对应的数据处理模型，进一步根据数据处理模型，将非数值型特征数据转化为对应的数值型特征数据，进而可以利用转化之后的网络安全特征数据生成特征数据集合列表。

步骤307，基于所述特征数据提取器的提取器头部以及所述网络安全特征数据，生成特征数据集合列表，其中，所述特征数据集合列表包括第一表头、第二表头以及与每个第一表头和每个第二表头对应的列表结果，所述第一表头包括所述目标维度，所述第二表头包括所述目标特征，所述列表结果包括与每个目标维度和每个目标特征对应的所述网络安全特征数据；

在该实施例中，将网络安全特征数据全部转化为数值型特征数据后，以特征数据提取器的提取器头部和经过特征数据提取器提取的网络安全特征数据为基础，生成特征数据集合列表。特征数据集合列表可以包括三个组成部分，分别是第一表头部分、第二表头部分以及列表结果部分，其中每一个列表结果分别对应一个第一表头和一个第二表头。第一表头可以是目标维度，第二表头可以是目标特征，列表结果可以是与每个目标维度和每个目标特征对应的数值型特征数据，如图4所示。本申请实施例生成的特征数据集合列表中的网络安全特征数据均为数值型特征数据，在工作人员取用时直接取用数值型特征数据，可以直接输入到机器学习模型中，有利于提升机器模型训练的效率。

步骤308，读取所述特征数据集合列表中各表头对应的网络安全特征数据，并依据读取出的网络安全特征数据建立所述模型训练任务对应的训练样本集；利用所述训练样本集，训练所述模型。

在该实施例中，对特征数据集合列表中各表头对应的网络安全特征数据进行读取后，根据读取的网络安全特征数据，建立与模型训练任务相对应的训练样本集，训练样本集中的网络安全特征数据均为数值型特征数据，进一步利用训练样本集，对模型进行训练。

进一步的，作为图1方法的具体实现，本申请实施例提供了一种流式数据的特征提取装置，如图5所示，该装置包括：

在本申请实施例中，可选地，所述装置还包括：

在本申请实施例中，可选地，所述提取器生成模块，具体包括：

在本申请实施例中，可选地，所述特征数据提取模块，具体用于：

在本申请实施例中，可选地，所述装置还包括：

相应地，所述装置还包括：

模型训练模块，用于利用所述训练样本集，训练所述模型。

需要说明的是，本申请实施例提供的一种流式数据的特征提取装置所涉及各功能单元的其他相应描述，可以参考图1至图2方法中的对应描述，在此不再赘述。

基于上述如图1至图2所示方法，相应的，本申请实施例还提供了一种存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述如图1至图2所示的流式数据的特征提取方法。

基于这样的理解，本申请的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施场景所述的方法。

基于上述如图1至图2所示的方法，以及图5所示的虚拟装置实施例，为了实现上述目的，本申请实施例还提供了一种计算机设备，具体可以为个人计算机、服务器、网络设备等，该计算机设备包括存储介质和处理器；存储介质，用于存储计算机程序；处理器，用于执行计算机程序以实现上述如图1至图2所示的流式数据的特征提取方法。

可选地，该计算机设备还可以包括用户接口、网络接口、摄像头、射频(Radio Frequency，RF)电路，传感器、音频电路、WI-FI模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard)等，可选用户接口还可以包括USB接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如蓝牙接口、WI-FI接口)等。

本领域技术人员可以理解，本实施例提供的一种计算机设备结构并不构成对该计算机设备的限定，可以包括更多或更少的部件，或者组合某些部件，或者不同的部件布置。

存储介质中还可以包括操作系统、网络通信模块。操作系统是管理和保存计算机设备硬件和软件资源的程序，支持信息处理程序以及其它软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信，以及与该实体设备中其它硬件和软件之间通信。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现，也可以通过硬件实现。接收流式数据，并获取需要对流式数据进行网络安全特征数据提取的网络安全特征提取需求，对网络安全特征提取需求进行解析，获取其中待提取的至少一个目标维度以及待提取的至少一个目标特征，根据目标维度和目标特征，生成特征数据提取器，进而根据生成的特征数据提取器，提取接收的流式数据的网络安全特征数据。本申请通过构建特征数据提取器，并通过特征数据提取器提取流式数据的网络安全特征数据，能够对流式数据进行即时性特征提取，在充分发挥流式数据的低延迟性特点的同时，减少资源的占用量。

本领域技术人员可以理解附图只是一个优选实施场景的示意图，附图中的模块或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中，也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块，也可以进一步拆分成多个子模块。

上述本申请序号仅仅为了描述，不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景，但是，本申请并非局限于此，任何本领域的技术人员能思之的变化都应落入本申请的保护范围。

Claims

一种流式数据的特征提取方法，其特征在于，包括：

接收流式数据，并获取所述流式数据对应的网络安全特征提取需求，其中，所述网络安全特征提取需求包括至少一个待提取的目标维度以及至少一个待提取的目标特征，所述目标维度包括IP维度、时间维度以及mac局域网地址维度中的至少一种，所述目标特征包括DNS请求数量特征、ICMP请求数量特征、HTTP请求数量特征、DNS域名集合特征以及页面访问次数特征中的至少一种；

依据所述目标维度以及所述目标特征，生成特征数据提取器；

利用所述特征数据提取器，提取所述流式数据中与所述目标维度以及所述目标特征对应的网络安全特征数据。
根据权利要求1所述的方法，其特征在于，所述网络安全特征提取需求包括请求DNS域名去重数量，所述请求DNS域名去重数量包括所述IP维度以及所述DNS域名集合特征。
根据权利要求1所述的方法，其特征在于，所述获取所述流式数据对应的网络安全特征提取需求之前，所述方法还包括：

依据预设数据筛选条件，对所述流式数据进行筛选，其中，所述预设数据筛选条件包括预设数据协议。
根据权利要求1所述的方法，其特征在于，所述依据所述目标维度以及所述目标特征，生成特征数据提取器，具体包括：

分别依据每个目标特征，建立与所述每个目标特征各自匹配的特征数据提取工具；

依据所述目标维度、所述目标特征以及所述特征数据提取工具，生成所述特征数据提取器，其中，所述特征数据提取器包括提取器头部以及提取器主体，所述提取器头部用于指示所述目标维度以及所述目标特征，所述提取器主体包括所述特征数据提取工具。
根据权利要求1所述的方法，其特征在于，所述利用所述特征数据提取器，提取所述流式数据中与所述目标维度以及所述目标特征对应的网络安全特征数据，具体包括：

将所述流式数据输入到所述特征数据提取器中，以使所述特征数据提取器按所述目标维度对所述流式数据进行分组，并从分组后的流式数据中提取出与所述目标特征匹配的网络安全特征数据。
根据权利要求4所述的方法，其特征在于，所述提取所述流式数据中与所述目标维度以及所述目标特征对应的网络安全特征数据之后，所述方法还包括：

基于所述特征数据提取器的提取器头部以及所述网络安全特征数据，生成特征数据集合列表，其中，所述特征数据集合列表包括第一表头、第二表头以及与每个第一表头和每个第二表头对应的列表结果，所述第一表头包括所述目标维度，所述第二表头包括所述目标特征，所述列表结果包括与每个目标维度和每个目标特征对应的所述网络安全特征数据。
根据权利要求6所述的方法，其特征在于，所述生成特征数据集合列表之后，所述方法还包括：

响应于样本数据获取指令，从所述特征数据集合列表中查找与所述样本数据获取指令相对应的目标特征数据，其中，所述样本数据获取指令包括任意第一表头和/或任意第二表头，所述样本数据获取指令用于获取模型训练样本；

判断所述目标特征数据是否为数值型数据，并当所述目标特征数据为非数值型数据时，基于所述目标特征数据的数据类型，调用对应的数据处理模型；

依据所述数据处理模型，将所述目标特征数据转化为数值型数据，以利用转化后的目标特征数据进行模型训练。
根据权利要求6所述的方法，其特征在于，所述基于所述特征数据提取器的提取器头部以及所述网络安全特征数据，生成特征数据集合列表之前，所述方法还包括：

判断所述网络安全特征数据是否为数值型数据，并当所述网络安全特征数据为非数值型数据时，基于所述网络安全特征数据的数据类型，调用对应的数据处理模型；

依据所述数据处理模型，将所述网络安全特征数据转化为数值型数据，以利用转化后的网络安全特征数据生成特征数据集合列表。
根据权利要求6所述的方法，其特征在于，所述接收流式数据之前，所述方法还包括：

接收模型训练任务；

分析执行所述模型训练任务所需的训练样本特征，并依据所述训练样本特征，确定所述网络安全特征提取需求；

相应地，所述生成特征数据集合列表之后，所述方法还包括：

读取所述特征数据集合列表中各表头对应的网络安全特征数据，并依据读取出的网络安全特征数据建立所述模型训练任务对应的训练样本集；

利用所述训练样本集，训练所述模型。
一种流式数据的特征提取装置，其特征在于，包括：

需求获取模块，接收流式数据，并获取所述流式数据对应的网络安全特征提取需求，其中，所述网络安全特征提取需求包括至少一个待提取的目标维度以及至少一个待提取的目标特征，所述目标维度包括IP维度、时间维度以及mac局域网地址维度中的至少一种，所述目标特征包括DNS请求数量特征、ICMP请求数量特征、HTTP请求数量特征、DNS域名集合特征以及页面访问次数特征中的至少一种；

提取器生成模块，用于依据所述目标维度以及所述目标特征，生成特征数据提取器；

特征数据提取模块，利用所述特征数据提取器，提取所述流式数据中与所述目标维度以及所述目标特征对应的网络安全特征数据。
根据权利要求10所述的装置，其特征在于，所述网络安全特征提取需求包括请求DNS域名去重数量，所述请求DNS域名去重数量包括所述IP维度以及所述DNS域名集合特征。
根据权利要求10所述的装置，其特征在于，所述装置还包括：

流式数据筛选模块，用于所述获取所述流式数据对应的网络安全特征提取需求之前，依据预设数据筛选条件，对所述流式数据进行筛选，其中，所述预设数据筛选条件包括预设数据协议。
根据权利要求10所述的装置，其特征在于，所述提取器生成模块，具体包括：

提取工具建立单元，用于分别依据每个目标特征，建立与所述每个目标特征各自匹配的特征数据提取工具；

提取器生成单元，用于依据所述目标维度、所述目标特征以及所述特征数据提取工具，生成所述特征数据提取器，其中，所述特征数据提取器包括提取器头部以及提取器主体，所述提取器头部用于指示所述目标维度以及所述目标特征，所述提取器主体包括所述特征数据提取工具。
根据权利要求10所述的装置，其特征在于，所述特征数据提取模块，具体用于：

将所述流式数据输入到所述特征数据提取器中，以使所述特征数据提取器按所述目标维度对所述流式数据进行分组，并从分组后的流式数据中提取出与所述目标特征匹配的网络安全特征数据。
根据权利要求13所述的装置，其特征在于，所述装置还包括：

列表生成模块，用于所述提取所述流式数据中与所述目标维度以及所述目标特征对应的网络安全特征数据之后，基于所述特征数据提取器的提取器头部以及所述网络安全特征数据，生成特征数据集合列表，其中，所述特征数据集合列表包括第一表头、第二表头以及与每个第一表头和每个第二表头对应的列表结果，所述第一表头包括所述目标维度，所述第二表头包括所述目标特征，所述列表结果包括与每个目标维度和每个目标特征对应的所述网络安全特征数据。
根据权利要求15所述的装置，其特征在于，所述装置还包括：

查找模块，用于根据样本数据获取指令，从所述特征数据集合列表中查找与所述样本数据获取指令相对应的目标特征数据，其中，所述样本数据获取指令包括任意第一表头和/或任意第二表头，所述样本数据获取指令用于获取模型训练样本；

判断模块，用于判断所述目标特征数据是否为数值型数据，并当所述目标特征数据为非数值型数据时，基于所述目标特征数据的数据类型，调用对应的数据处理模型；

转化模块，用于依据所述数据处理模型，将所述目标特征数据转化为数值型数据，以利用转化后的目标特征数据进行模型训练。
根据权利要求15所述的装置，其特征在于，所述装置还包括：

判断模块，用于所述基于所述特征数据提取器的提取器头部以及所述网络安全特征数据，生成特征数据集合列表之前，判断所述网络安全特征数据是否为数值型数据，并当所述网络安全特征数据为非数值型数据时，基于所述网络安全特征数据的数据类型，调用对应的数据处理模型；

转化模块，用于依据所述数据处理模型，将所述网络安全特征数据转化为数值型数据，以利用转化后的网络安全特征数据生成特征数据集合列表。
根据权利要求15所述的装置，其特征在于，所述装置还包括：

训练任务接收模块，用于所述接收流式数据之前，接收模型训练任务；

需求确定模块，用于分析执行所述模型训练任务所需的训练样本特征，并依据所述训练样本特征，确定所述网络安全特征提取需求；

相应地，所述装置还包括：

训练样本集确定模块，用于在生成所述特征数据集合列表之后，读取所述特征数据集合列表中各表头对应的网络安全特征数据，并依据读取出的网络安全特征数据建立所述模型训练任务对应的训练样本集；

模型训练模块，用于利用所述训练样本集，训练所述模型。
一种存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至9中任一项所述的方法。
一种计算机设备，包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至9中任一项所述的方法。