(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111607080.3 (22)申请日 2021.12.27 (65)同一申请的已公布的文献号 申请公布号 CN 113992436 A (43)申请公布日 2022.01.28 (73)专利权人 北京微步在线科技有限公司 地址 100082 北京市海淀区苏州街 49-3号3 层301室 (72)发明人 王云赫　任政　童兆丰　薛锋　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 杨奇松 (51)Int.Cl. H04L 9/40(2022.01) G06F 16/901(2019.01)G06F 16/903(2019.01) (56)对比文件 CN 10846 0278 A,2018.08.28 CN 113839954 A,2021.12.24 CN 1098620 03 A,2019.0 6.07 CN 110941823 A,2020.0 3.31 CN 109981627 A,2019.07.0 5 CN 110460594 A,2019.1 1.15 US 2015215 334 A1,2015.07.3 0 US 2015207809 A1,2015.07.23 审查员 张巍 (54)发明名称 本地情报产生方法、 装置、 设备及存 储介质 (57)摘要 本申请提供一种本地情报产生方法、 装置、 设备及存储介质， 其中， 本地情报产生方法包括： 基于若干 数据源获取告警日志； 将所述告警日志 与情报数据库进行碰撞， 并得到与所述告警日志 相关的第一情报数据； 基于所述告警日志和所述 第一情报数据提取若干指标数据； 基于所述若干 指标数据和所述第一情报数据生成第二情报数 据； 将所述告警日志和所述第二情报数据保存在 本地存储空间中。 本申请至少能够提高生成的情 报数据的准确度、 实时性。 另一方面， 本申请具有 分析结果可追溯、 情报数据生成过程可动态调 整、 生成的情 报数据可信度高的优点。 权利要求书2页 说明书8页 附图3页 CN 113992436 B 2022.03.01 CN 113992436 B 1.一种本地情 报产生方法， 其特 征在于， 所述方法包括： 基于若干数据源获取告警日志； 将所述告警日志与情报数据库进行碰撞， 并得到与所述告警日志相关的第一情报数 据； 基于所述告警日志和所述第一情 报数据提取若干指标 数据； 基于所述若干指标 数据和所述第一情 报数据生成第二情 报数据； 将所述告警日志和所述第二情 报数据保存在本地存 储空间中。 2.如权利要求1所述的方法， 其特征在于， 在所述基于若干数据源获取告警日志之后， 所述将所述告警日志与情报数据库进 行碰撞， 并得到与所述告警日志相关的第一情报数据 之前， 所述方法还 包括： 根据所述告警日志的数据源确定所述告警日志的数据解析配置信 息， 所述数据解析配 置信息包括所述告警日志的解析格式， 所述告警日志的解析格式与所述告警日志的数据源 对应； 根据所述告警日志的数据解析配置信 息解析所述告警日志， 并得到所述告警日志的解 析数据； 以及， 所述基于所述告警日志和所述第一情 报数据提取若干指标 数据， 包括： 基于所述告警日志的解析 数据提取 预设字段的数据； 基于所述告警日志的所述预设字段的数据， 和所述第一情 报数据提取若干指标 数据。 3.如权利要求2所述的方法， 其特征在于， 所述基于所述告警日志和所述第 一情报数据 提取若干指标 数据， 还包括： 基于所述告警日志的解析 数据判断所述告警日志中是否包 含所述预设字段的数据； 若所述告警日志中不包含所述预设字段的数据， 则判断所述预设字段是否存在默认 值， 若所述预设字段存在所述默认值， 则将所述预设字段 的所述默认值作为所述预设字段 的数据； 以及， 所述方法还 包括： 当所述预设字段的所述默认值 不存在时， 丢弃 所述告警日志。 4.如权利要求1所述的方法， 其特征在于， 在所述基于若干数据源获取告警日志之后， 所述将所述告警日志与情报数据库进 行碰撞， 并得到与所述告警日志相关的第一情报数据 之前， 所述方法还 包括： 生成所述情报数据库， 所述情报数据库包括商业情报数据、 云端情报数据、 第 三方情报 数据中的至少一种。 5.如权利要求1所述的方法， 其特征在于， 所述将所述告警日志与情报数据库进行碰 撞， 并得到与所述告警日志相关的第一情 报数据， 包括： 从所述情报数据库匹配与 所述告警日志相关的情报数据， 并将与所述告警日志相关的 情报数据作为所述第一情 报数据。 6.如权利要求1所述的方法， 其特征在于， 在基于所述若干指标数据和所述第 一情报数 据生成第二情 报数据之前， 所述方法还 包括： 基于所述告警日志的数据源， 确定所述告警日志的权 重配置信息； 以及， 所述基于所述若干指标 数据和所述第一情 报数据生成第二情 报数据包括：权　利　要　求　书 1/2 页 2 CN 113992436 B 2基于所述若干指标数据、 所述告警日志的权重配置信 息和所述第 一情报数据生成所述 第二情报数据。 7.如权利要求1所述的方法， 其特征在于， 所述基于所述告警日志和所述第 一情报数据 提取若干指标 数据， 包括： 统计所述告警日志的告警数量， 将所述告警数量作为 其中一个所述指标 数据。 8.一种本地情 报产生装置， 其特 征在于， 所述装置包括： 数据获取模块， 用于基于若干数据源获取告警日志； 数据碰撞模块， 用于将所述告警日志与情报数据库进行碰撞， 并得到与所述告警日志 相关的第一情 报数据； 数据提取模块， 用于基于所述告警日志和所述第一情 报数据提取若干指标 数据； 数据生成模块， 用于基于所述若干指标 数据和所述第一情 报数据生成第二情 报数据； 数据存储模块， 用于将所述告警日志和所述第二情 报数据保存在本地存 储空间中。 9.一种本地情 报产生设备， 其特 征在于， 所述设备包括： 存储有可执行程序代码的存 储器； 与所述存 储器耦合的处 理器； 所述处理器调用所述存储器中存储的所述可执行程序代码， 执行如权利要求1 ‑7任一 项所述的本地情 报产生方法。 10.一种存储介质， 其特征在于， 所述存储介质存储有计算机指令， 所述计算机指令被 调用时， 用于执 行如权利要求1 ‑7任一项所述的本地情 报产生方法。权　利　要　求　书 2/2 页 3 CN 113992436 B 3