(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211319480.9 (22)申请日 2022.10.26 (65)同一申请的已公布的文献号 申请公布号 CN 115378746 A (43)申请公布日 2022.11.22 (73)专利权人 北京华云安信息技 术有限公司 地址 100094 北京市海淀区丰豪东路9号2 号楼10层4单 元1001 专利权人 国网思极网安科技 （北京） 有限公 司 (72)发明人 马维士　沈传宝　 (74)专利代理 机构 北京华专卓 海知识产权代理 事务所(普通 合伙) 11664 专利代理师 张帅杰　王一(51)Int.Cl. H04L 9/40(2022.01) (56)对比文件 CN 111177417 A,2020.0 5.19 CN 114357190 A,202 2.04.15 CN 114615052 A,202 2.06.10 US 2007214504 A1,20 07.09.13 审查员 胡锐先 (54)发明名称 网络入侵检测规则生成方法、 装置、 设备以 及存储介质 (57)摘要 本公开的实施例提供了一种网络入侵检测 规则生成方法、 装置、 设备以及存储介质， 涉及网 络安全技术领域。 该方法包括： 对目标网络系统 的异常流量数据进行解析， 得到流量字段， 并对 其进行特征提取， 得到流量特征， 根据流量特征 从网络入侵检测规则知识 图谱中确定候选网络 入侵检测规则， 其中， 该知识图谱是根据网络入 侵实体关系组构建的， 根据流量字段对候选网络 入侵检测规则进行调整， 生 成目标网络入侵检测 规则。 以此方式， 可 以基于网络入侵检测规则知 识图谱自动快速地生成合适的目标网络入侵检 测规则。 权利要求书2页 说明书9页 附图2页 CN 115378746 B 2022.12.23 CN 115378746 B 1.一种网络入侵检测规则生成方法， 其特 征在于， 所述方法包括： 对目标网络系统的异常流 量数据进行解析， 得到流 量字段； 对所述流量字段进行 特征提取， 得到流 量特征； 根据所述流量特征从网络入侵检测规则知识图谱中确定候选网络入侵检测规则； 其 中， 所述网络入侵检测规则知识图谱是根据网络入侵实体关系组构建的知识图谱， 所述网 络入侵实体关系组包括网络入侵流量特征实体及其对应的属性、 网络入侵检测规则实体及 其对应的属性、 网络入侵流 量特征实体与网络入侵检测规则实体的关联关系； 根据所述流量字段对所述候选网络入侵检测规则进行调整， 生成目标网络入侵检测规 则。 2.根据权利要求1所述的方法， 其特征在于， 所述网络入侵检测规则知识图谱的建立包 括以下步骤： 获取网络入侵历史数据； 对所述网络入侵历史数据进行知识提取， 得到所述网络入侵实体关系组； 对所述网络入侵实体关系组进行知识融合、 知识加工， 得到所述网络入侵检测规则知 识图谱。 3.根据权利要求1所述的方法， 其特征在于， 所述根据所述流量特征从网络入侵检测规 则知识图谱中确定候选网络入侵检测规则， 包括： 根据所述流量特征从所述网络入侵检测规则知识图谱中确定与所述流量特征匹配的 一个或多个网络入侵检测规则； 计算每个网络入侵检测规则的检测率； 确定检测率满足预设入侵检测条件的网络入侵检测规则为所述候选网络入侵检测规 则。 4.根据权利要求1所述的方法， 其特征在于， 所述根据所述流量字段对所述候选网络入 侵检测规则进行调整， 生成目标网络入侵检测规则， 包括： 对所述流量字段和所述 候选网络入侵检测规则中的字段进行类型匹配； 使用与所述候选网络入侵检测规则中的字段类型匹配的流量字段替换所述候选网络 入侵检测规则中对应的字段， 生成目标网络入侵检测规则。 5.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 利用模拟流量数据对调整后的候选网络入侵检测规则进行入侵检测测试， 其中， 所述 模拟流量数据是对所述异常流 量数据进行模拟而生成的； 若入侵检测测试通过， 则将调整后的候选网络入侵检测规则作为目标网络入侵检测规 则。 6.根据权利要求1 ‑5中任一项所述的方法， 其特征在于， 所述目标网络系统 的流量数据 是通过旁路抓包的方式获取的。 7.根据权利要求1 ‑5中任一项所述的方法， 其特征在于， 所述流量特征包括： 网络五元 组特征、 操作系统特 征、 开放服务特征、 服务组件特 征及组件版本特 征中的一项或多 项。 8.一种网络入侵检测规则生成装置， 其特 征在于， 所述装置包括： 解析模块， 用于对目标网络系统的异常流 量数据进行解析， 得到流 量字段； 提取模块， 用于对所述 流量字段进行 特征提取， 得到流 量特征；权　利　要　求　书 1/2 页 2 CN 115378746 B 2确定模块， 用于根据 所述流量特征从网络入侵检测规则知识图谱中确定候选网络入侵 检测规则； 其中， 所述网络入侵检测规则知识图谱是根据网络入侵实体关系组构建的知识 图谱， 所述网络入侵实体关系组包括网络入侵流量特征实体及其对应的属 性、 网络入侵检 测规则实体及其对应的属性、 网络入侵流量特征实体与网络入侵检测规则实体的关联关 系； 调整模块， 用于根据所述流量字段对所述候选网络入侵检测规则进行调整， 生成目标 网络入侵检测规则。 9.一种电子设备， 其特 征在于， 所述电子设备包括： 至少一个处 理器； 以及 与所述至少一个处 理器通信连接的存 储器； 其中， 所述存储器存储有可被所述至少一个处理器执行的指令， 所述指令被所述至少一个处 理器执行， 以使所述至少一个处 理器能够执 行权利要求1 ‑7中任一项所述的方法。 10.一种存储有计算机指令的非瞬时计算机可读存储介质， 其特征在于， 所述计算机指 令用于使计算机执 行权利要求1 ‑7中任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 115378746 B 3