网络入侵检测规则生成方法、装置、设备以及存储介质与流程

技术特征：
1.一种网络入侵检测规则生成方法，其特征在于，所述方法包括：对目标网络系统的异常流量数据进行解析，得到流量字段；对所述流量字段进行特征提取，得到流量特征；根据所述流量特征从网络入侵检测规则知识图谱中确定候选网络入侵检测规则；其中，所述网络入侵检测规则知识图谱是根据网络入侵实体关系组构建的知识图谱，所述网络入侵实体关系组包括网络入侵流量特征实体及其对应的属性、网络入侵检测规则实体及其对应的属性、网络入侵流量特征实体与网络入侵检测规则实体的关联关系；根据所述流量字段对所述候选网络入侵检测规则进行调整，生成目标网络入侵检测规则。2.根据权利要求1所述的方法，其特征在于，所述网络入侵检测规则知识图谱的建立包括以下步骤：获取网络入侵历史数据；对所述网络入侵历史数据进行知识提取，得到所述网络入侵实体关系组；对所述网络入侵实体关系组进行知识融合、知识加工，得到所述网络入侵检测规则知识图谱。3.根据权利要求1所述的方法，其特征在于，所述根据所述流量特征从网络入侵检测规则知识图谱中确定候选网络入侵检测规则，包括：根据所述流量特征从所述网络入侵检测规则知识图谱中确定与所述流量特征匹配的一个或多个网络入侵检测规则；计算每个网络入侵检测规则的检测率；确定检测率满足预设入侵检测条件的网络入侵检测规则为所述候选网络入侵检测规则。4.根据权利要求1所述的方法，其特征在于，所述根据所述流量字段对所述候选网络入侵检测规则进行调整，生成目标网络入侵检测规则，包括：对所述流量字段和所述候选网络入侵检测规则中的字段进行类型匹配；使用与所述候选网络入侵检测规则中的字段类型匹配的流量字段替换所述候选网络入侵检测规则中对应的字段，生成目标网络入侵检测规则。5.根据权利要求1所述的方法，其特征在于，所述方法还包括：利用模拟流量数据对调整后的候选网络入侵检测规则进行入侵检测测试，其中，所述模拟流量数据是对所述异常流量数据进行模拟而生成的；若入侵检测测试通过，则将调整后的候选网络入侵检测规则作为目标网络入侵检测规则。6.根据权利要求1-5中任一项所述的方法，其特征在于，所述目标网络系统的流量数据是通过旁路抓包的方式获取的。7.根据权利要求1-5中任一项所述的方法，其特征在于，所述流量特征包括：网络五元组特征、操作系统特征、开放服务特征、服务组件特征及组件版本特征中的一项或多项。8.一种网络入侵检测规则生成装置，其特征在于，所述装置包括：解析模块，用于对目标网络系统的异常流量数据进行解析，得到流量字段；提取模块，用于对所述流量字段进行特征提取，得到流量特征；
确定模块，用于根据所述流量特征从网络入侵检测规则知识图谱中确定候选网络入侵检测规则；其中，所述网络入侵检测规则知识图谱是根据网络入侵实体关系组构建的知识图谱，所述网络入侵实体关系组包括网络入侵流量特征实体及其对应的属性、网络入侵检测规则实体及其对应的属性、网络入侵流量特征实体与网络入侵检测规则实体的关联关系；调整模块，用于根据所述流量字段对所述候选网络入侵检测规则进行调整，生成目标网络入侵检测规则。9.一种电子设备，其特征在于，所述电子设备包括：至少一个处理器；以及与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行权利要求1-7中任一项所述的方法。10.一种存储有计算机指令的非瞬时计算机可读存储介质，其特征在于，所述计算机指令用于使计算机执行权利要求1-7中任一项所述的方法。

技术总结
本公开的实施例提供了一种网络入侵检测规则生成方法、装置、设备以及存储介质，涉及网络安全技术领域。该方法包括：对目标网络系统的异常流量数据进行解析，得到流量字段，并对其进行特征提取，得到流量特征，根据流量特征从网络入侵检测规则知识图谱中确定候选网络入侵检测规则，其中，该知识图谱是根据网络入侵实体关系组构建的，根据流量字段对候选网络入侵检测规则进行调整，生成目标网络入侵检测规则。以此方式，可以基于网络入侵检测规则知识图谱自动快速地生成合适的目标网络入侵检测规则。测规则。测规则。


技术研发人员：马维士 沈传宝
受保护的技术使用者：国网思极网安科技（北京）有限公司
技术研发日：2022.10.26
技术公布日：2022/11/22