CN116192527B 攻击流量检测规则生成方法、装置、设备及存储介质 （鹏城实验室）.docxVIP

(19)国家知识产权局

(12)发明专利

(10)授权公告号CN116192527B

(45)授权公告日2025.07.11

(21)申请号202310210967.1

(56)对比文件

(22)申请日2023.03.07

CN113132316

A,2021.07.16

(65)同一申请的已公布的文献号申请公布号CN116192527A

CN109525577

审查员陈翠莹

A,2019.03.26

(43)申请公布日2023.05.30

(73)专利权人鹏城实验室

地址518000广东省深圳市南山区兴科一

街2号

(72)发明人顾钊铨杜磊方滨兴贾焰

罗翠周可袁华平余涛陈元

(74)专利代理机构深圳市世纪恒程知识产权代理事务所44287

专利代理师巩莉

(51)Int.CI.

HO4L9/40(2022.01)

权利要求书2页

说明书10页附图3页

(54)发明名称

攻击流量检测规则生成方法、装置、设备及存储介质

(57)摘要

CN116192527B本申请公开了一种攻击流量检测规则生成方法、装置、设备及可读存储介质，该方法包括步骤：获取异常流量所携带的数据包，基于预设分类模型，从所述数据包中确定属于攻击流量的第一字节序列；基于预设标注模型，提取所述第一字节序列中的恶意特征；根据所述恶意特征和预设攻击模板，确定与所述恶意特征相邻的相关恶意特征，其中，所述预设攻击模板用于提取所述相关恶意特征；将所述恶意特征和所述相关恶意特征组成的集合映射至相应的规则关键字，生成

CN116192527B

获取异常流量所携带的数据包，基于预设分类模型，从所述数据包中确定属于攻击流量的第一字节序列

基于预设标注模型，提取所述第一字节序列中的恶意特征

基于预设标注模型，提取所述第一字节序列中的恶意特

根据所述恶意特征和预设攻击模板，确定与所述恶意特

征相邻的相关恶意特征，其中，所述预设攻击模板用于

提取所述相关恶意特征

将所述恶意特征和所述相关恶意特征组成

的集合映射至入侵检测系统中的规则关键字，生成检测

规则

S10

S20

S30

S40

CN116192527B权利要求书1/2页

2

1.一种攻击流量检测规则生成方法，其特征在于，所述方法包括以下步骤：

获取异常流量所携带的数据包，基于预设分类模型，从所述数据包中确定属于攻击流量的第一字节序列；

基于预设标注模型，提取所述第一字节序列中的恶意特征，其中，所述恶意特征为与攻击相关的一个或多个字节；

根据所述恶意特征和预设攻击模板，确定与所述恶意特征相邻的相关恶意特征，其中，所述预设攻击模板用于提取所述相关恶意特征，所述相关恶意特征包括与所述恶意特征所属根节点相关相邻兄弟节点和父亲节点，以及所述兄弟节点和所述父亲节点对应的树结构中的攻击参数组合；

将所述恶意特征和所述相关恶意特征组成的集合映射至相应的规则关键字，生成检测规则。

2.如权利要求1所述的攻击流量检测规则生成方法，其特征在于，所述基于预设标注模型，提取所述第一字节序列中的恶意特征的步骤，包括：

基于预设标注模型，对所述第一字节序列进行标注，输出标注字节序列；

根据所述标注字节序列的多个标注类型，确定恶意字节的位置信息；

根据所述位置信息，提取所述第一字节序列中的恶意特征。

3.如权利要求2所述的攻击流量检测规则生成方法，其特征在于，所述根据所述标注字节序列的多个标注类型，确定恶意字节的位置信息的步骤，包括：

根据所述标注字节序列的多个标注类型，确定中间标注字节；

基于所述中间标注字节在所述标注字节序列中所处的位置，确定恶意字节的位置信息，其中，所述中间标注字节与恶意字节相对应。

4.如权利要求1所述的攻击流量检测规则生成方法，其特征在于，所述根据所述恶意特征和预设攻击模板，确定与所述恶意特征相邻的相关恶意特征，其中，所述预设攻击模板用于提取所述相关恶意特征的步骤，包括：

根据所述恶意特征和预设攻击模板，确定所述恶意特征的位置信息，并提取与恶意特征相邻的兄弟节点和父亲节点；

根据所述兄弟节点和所述父亲节点，确定相关恶意特征。

5.如权利要求1所述的攻击流量检测规则生成方法，其特征在于，所述基于预设分类模型，所述数据包中确定属于攻击流量的第一字节序列的步骤之前，包括：

将所述数据包进行重组，得到流数据；

根据所述流数据处理后得到的应用层数据，将所述应用层数据划分为多个字符串列表项，并将所述字符串列表项转化为相应的字节序列；

所述基于预设分类模型，所述数据包中确定属于攻击流量的