(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111475920.5 (22)申请日 2021.12.0 6 (71)申请人 北京天融信网络安全技 术有限公司 地址 100000 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 侯文博　谌颐　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 杨奇松 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 恶意数据防护方法、 装置、 电子设备及存储 介质 (57)摘要 本申请提供一种恶意数据防护方法、 装置、 电子设备及存储介质， 涉及 恶意数据防护技术领 域， 该方法包括： 接收流量数据， 提取流量数据的 特征值并与特征库中的特征值进行比对， 确定流 量数据的特征值与特征库中的特征值是否匹配； 在流量数据的特征值与特征库中的特征值不匹 配时， 基于训练完成的数据检测模 型对流量数据 进行检测， 确定流量数据中是否带有恶意信息； 在数据检测模型未检测出流量数据带有恶意信 息时， 将流量数据上传至云端系统； 接收云端系 统返回的检测结果， 在检测结果表征流量数据为 安全时， 放行流量数据。 采用本申请实施例提供 的恶意数据防护方法能够提高恶意数据防护能 力。 权利要求书2页 说明书12页 附图5页 CN 114172721 A 2022.03.11 CN 114172721 A 1.一种恶意数据防护方法， 其特 征在于， 包括： 接收流量数据， 提取所述流量数据的特征值并与特征库中的特征值进行比对， 确定所 述流量数据的特 征值与所述特 征库中的特 征值是否匹配； 在所述流量数据的特征值与 所述特征库中的特征值不匹配时， 基于训练完成的数据检 测模型对所述 流量数据进行检测， 确定所述 流量数据中是否带有 恶意信息； 在所述数据检测模型未检测出所述流量数据 带有恶意信 息时， 将所述流量数据 上传至 云端系统； 接收所述云端系统返回的检测结果， 在所述检测结果表征所述流量数据为安全时， 放 行所述流量数据。 2.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 在所述数据检测模型检测出所述流量数据 带有恶意信 息时， 基于网关安全策略处理所 述流量数据， 并将所述 流量数据的特 征值同步至所述云端系统的特 征库中； 在接收所述云端系统返回的检测结果， 所述检测结果表征所述流量数据为危险时， 基 于所述云端系统发送的威胁特征信息， 将所述威胁特征信息存入所述特征库， 并基于所述 网关安全策略处 理所述流量数据。 3.根据权利要求1所述的方法， 其特征在于， 所述流量数据的特征值包括互联网协议地 址、 域名、 网址、 应用或哈希值中的至少一种， 所述提取所述流量数据的特征值并与特征库 中的特征值进行比对 包括： 基于所述流量数据的第 一个报文确定第 一比对策略， 所述第 一比对策略表征选用网关 中与所述 流量数据的特 征值对应的特 征比对模块对所述 流量数据进行匹配； 基于所述第一比对策略从所述流量数据中提取所述互联网协议地址、 所述域名、 所述 网址、 所述应用和所述哈希值中的至少一种， 与所述特 征库中的特 征值进行匹配。 4.根据权利要求3所述的方法， 其特 征在于， 所述方法还 包括： 在检测到所述流量数据中含有邮件信息时， 确定第二比对策略， 所述第二比对策略表 征选用所述网关中与所述邮件信息对应的比对模块对所述邮件信息进 行匹配， 所述邮件信 息包括邮箱地址和/或附件信息； 基于所述第 二比对策略将所述邮箱地址和/或附件信 息与所述特征库中的特征值进行 匹配。 5.根据权利要求2所述的方法， 其特征在于， 在所述接收所述云端系统返回的检测结 果， 所述检测结果表征 所述流量数据为 危险之后， 所述方法还 包括： 根据用户资产信息和所述 流量数据的关联情况进行评分， 得到 评分结果； 将所述评分结果反馈至网关， 以使所述网关在再次接收到与 所述评分结果相关的所述 数据流量时， 基于所述评分结果判断是否拦截所述 流量数据。 6.根据权利要求1所述的方法， 其特征在于， 所述将所述流量数据上传至云端系统包 括： 基于预设协议向所述云端系统发送所述 流量数据； 根据所述预设协议确定将请求指令包装成一个对象或将所述请求指令转换为二进制 或十六进制， 并发送所述请求指令， 以使所述云端系统对所述数据流 量进行检测。 7.一种恶意数据防护方法， 其特 征在于， 应用于云端系统， 包括：权　利　要　求　书 1/2 页 2 CN 114172721 A 2接收请求指令， 所述请求指令表征网关中的数据检测模型未检测出流量数据 带有恶意 信息， 基于所述请求指 令将所述流量数据的特征值与所述云端系统特征库中的特征值进 行 比对， 得到检测结果； 返回所述检测结果， 以使所述网关确定放行所述流量数据或基于网关安全策略处理所 述流量数据。 8.一种恶意数据防护装置， 其特 征在于， 包括： 提取模块， 用于接收流量数据， 提取所述流量数据的特征值并与特征库中的特征值进 行比对， 确定所述 流量数据的特 征值与所述特 征库中的特 征值是否匹配； 检测模块， 用于在所述流量数据的特征值与所述特征库中的特征值不匹配时， 基于训 练完成的数据检测模型对所述流量数据进行检测， 确定所述流量数据中是否带有恶意信 息； 信息上传模块， 用于在所述数据检测模型未检测出所述流量数据带有恶意信息时， 将 所述流量数据上传至云端系统； 接收模块， 用于接收所述云端系统返回的检测结果， 在所述检测结果表征所述流量数 据为安全时， 放行 所述流量数据。 9.一种电子设备， 其特征在于， 所述电子设备包括存储器和处理器， 所述存储器中存储 有程序指 令， 所述处理器运行所述程序指 令时， 执行权利要求 1‑7中任一项 所述方法中的步 骤。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质中存储有计算机 程序指令， 所述计算机程序指 令被一处理器运行时， 执行权利要求 1‑7任一项所述方法中的 步骤。权　利　要　求　书 2/2 页 3 CN 114172721 A 3