(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111513344.9 (22)申请日 2021.12.13 (65)同一申请的已公布的文献号 申请公布号 CN 113904881 A (43)申请公布日 2022.01.07 (73)专利权人 北京金睛云华科技有限公司 地址 100088 北京市海淀区北三环中路4 4 号58号1层21号 专利权人 金睛云华 （沈阳） 科技有限公司 (72)发明人 胡文友　曲武　 (74)专利代理 机构 沈阳友和欣知识产权代理事 务所(普通 合伙) 21254 代理人 杨群　郭悦 (51)Int.Cl. H04L 9/40(2022.01)H04L 9/32(2006.01) G06F 16/2455(2019.01) G06F 16/2458(2019.01) G06N 5/02(2006.01) (56)对比文件 US 2003145225 A1,20 03.07.31 审查员 程晓青 (54)发明名称 一种入侵 检测规则误报处 理方法和装置 (57)摘要 本发明涉及网络入侵检测领域， 尤其涉及一 种入侵检测规则误报处理方法和装置。 方法包括 如下步骤： 入侵检测事件采集； 事件预处理； 入侵 事件聚合； 入侵事件合并； 等价规则挖掘； 知识库 裁剪。 本发 明通过提出多种算法逐步分析入侵检 测设备的事件， 指导入侵检测设备规则集合的裁 剪， 实现大幅度降低入侵检测产品的误报， 进而 有效提高入侵检测系统的运行效率、 提高系统的 吞吐量、 并能大大简化安全管理员的工作， 从而 保证网络的安全运行。 权利要求书3页 说明书11页 附图7页 CN 113904881 B 2022.03.04 CN 113904881 B 1.一种入侵检测规则误报处 理方法， 其特 征在于， 包括如下步骤： 1） 入侵检测事件采集， 利用数据采集组件获取多源IDS设备发送的实时事件和其他来 源的离线ID S事件文件； 2） 事件预处理， 包括事件归一化和过滤， 即按照事件规范格式对步骤1） 中采集的入侵 检测事件进行归一 化， 并且根据过 滤策略对无关事 件进行过滤； 3） 入侵检测事件聚合， 针对单个IDS设备的事件， 提出针对事件聚合的EA算法， 对指定 时间窗口 的事件进行聚合， 将等 价的事件聚合为一条聚合事 件； EA算法包括如下步骤： 301） 按照时间窗口对 事件集合进行分割， 生成多个时间窗口事 件集合； 302） 对于每 个时间窗口内的事 件集合进行分析， 按照产生事 件的规则ID进行分组； 303） 对于规则ID相同的事件集合， 通过嵌套循环判断该集合 内的任意两条事件是否等 价， 对等价的事件进行留一操作； 304） 将时间窗口内的互为 不等价事件集合增加到聚合事 件集合， 跳到步骤302） ； 305） 跳到步骤301） ； 4） 入侵检测事件合并， 汇聚多源的IDS聚合事件， 提出针对聚合事件合并 的MEA算法， 对 指定时间窗口的聚合事件进行等价合并， 将包含重复关键信息的事件合并为一条合并事 件； MEA算法包括如下步骤： 401） 对于来自多个IDS设备的聚合事件集合， 分别按照时间窗口对聚合事件集合进行 分割， 生成多个时间窗口聚合事 件集合； 402） 定义两条聚合事件ea1， ea2等价函数， 若ea1.value=ea2.value， 则判定聚合事件 ea1， ea2等 价； 403） 对时间窗口内的IDS聚合事件集合， 利用查询时间复杂度为O(1)的布隆过滤器对 聚合事件等价进行比较； 404） 通过比较， 将等价的聚合事件进行留一操作， 最后将不互相不等价的聚合事件合 并， 返回合并事 件集合； 5） 等价规则挖掘， 针对步骤4） 合并后的事件集合， 提出ERM算法对其进行分析挖掘， 生 成等价规则集合和频繁规则集 合； ERM算法包括如下步骤： 501） 初始化ERM算法参数； 502） 以会话ID为关联key， 对于输入事件数据集合 进行关联， 生成入侵检测规则序列 关联集合； 503） 遍历入侵检测规则序列关联集合， 计算规则 的频繁度， 若规则 的频繁度超过最 小频繁度阈值 ， 生成疑似误报规则集 合， 进入人工判定步骤； 504） 按照时序滑动时间窗口， 遍历入侵检测规则序列关联集合， 生成满足最小支持度 的 频繁规则项集 候选集合， 并进行排序； 505） 遍历排序后的频繁规则项集， 建立频繁模式树， 为每一个频繁单序列集合寻找前 缀路径， 组成条件 模式基， 并建立条件频繁模式树； 506） 递归挖掘条件频繁模式树， 获得频繁k规则序列项集， 然后， 按照最小支持度阈值权　利　要　求　书 1/3 页 2 CN 113904881 B 2为 和最小可信度阈值 为 进行过滤， 获得等 价规则候选项集； 507） 对于等价规则候选项集， 利用等价度评估算法分别获取频繁2规则序列项集的等 价度， 根据等价度传递机制和最小等价度阈值扩展到更多的k规则序列项集， 最后， 输出等 价规则集合； 6） 知识库裁剪， 利用多维度评价体系对等价规则集合和频繁规则集合进行评估， 生成 无效或低价 值规则集合， 并从知识库中将无效或低价 值规则集合裁减掉。 2.根据权利要求1所述的入侵检测规则误报处理方法， 其特征在于， 步骤2） 中， 事件预 处理阶段的输入来源于企业/组织机构为了保护不同部 分的网络而在多个位置部署的网络 入侵检测系统， 即ID S。 3.根据权利要求1所述的入侵检测规则误报处理方法， 其特征在于， 步骤2） 中， 根据过 滤策略对无关事 件进行过滤， 包括如下步骤： 201） 过滤关键字段缺失、 格式错 误或内容 错误的事件； 202） 过滤明确的误报事 件； 203） 统计并过 滤同一个会话， 同一个规则ID， 存在多条事 件ID不同的事 件； 204） 用户不关注的事 件类型。 4.根据权利要求1所述的入侵检测规则误报处理方法， 其特征在于， 步骤3） 中， 为减少 事件数量又避免错过对用户有价值的事件， 分别针对每台IDS设备产生的事件进行聚合分 析， 将指定时间窗口内的多条相同或相似的事 件聚合为一条聚合事 件。 5.根据权利要求1所述的入侵检测规则误报处理方法， 其特征在于， 步骤4） 中， 按照事 件生成的时间顺序 汇聚多源的IDS设备聚合事件， 将指 定时间窗口内的来自多个IDS设备的 多条相同或相似的聚合事 件合并为 一条合并事 件。 6.根据权利要求1所述的入侵检测规则误报处理方法， 其特征在于， 步骤5） 中， 对于合 并事件集合， 利用ERM算法进行入侵检测规则进行等价分析和频繁分析， 即利用ERM算法返 回的入侵检测规则支持度和可信度， 实现对入侵检测事件对应的规则频度和规则共现概率 的评估， 进 而通过人工判断确定 冗余规则和误报规则。 7.一种采用权利要求1所述的入侵检测规则误报处理方法的入侵检测规则误报处理装 置， 其特征在于， 包括下列模块： 数据源模块： 该模块包含部署在组织和机构不同网络位置的多台IDS设备和1台时间同 步设备； 事件采集模块： 利用数据采集程序获取多源IDS设备发送的实时事件和其他来源的离 线IDS事件文件； 事件预处理模块： 该模块包括事件归一化和过滤， 即按照事件规范格式对事件进行归 一化， 并且根据过 滤策略对无关事 件进行过滤； 入侵规则挖掘模块， 包括入侵事件聚合子模块、 聚合事件合并子模块和等价规则挖掘 子模块， 其中， 入侵事件聚合子模块的输入为单个IDS设备的事件， 对指定时间窗口的事件 进行聚合， 将源IP、 目标IP和威胁类型相同的事件聚合为一条聚合事件； 聚合事件合并子模 块， 汇聚多源的IDS聚合事件， 对指定时间窗口的聚合事件进行等价合并， 将包含部署不同 网络位置的IDS产生的重复事件合并为一条合并事件； 等价规则挖掘子模块， 针对合并后的 事件集合， 生成等 价规则集合和频繁规则集 合；权　利　要　求　书 2/3 页 3 CN 113904881 B 3