(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211135417.X (22)申请日 2022.09.19 (65)同一申请的已公布的文献号 申请公布号 CN 115277248 A (43)申请公布日 2022.11.01 (73)专利权人 南京聚铭网络科技有限公司 地址 210000 江苏省南京市雨 花台区软件 大道180号7幢4层40 6室 (72)发明人 不公告发明人 　 (74)专利代理 机构 北京知果之信知识产权代理 有限公司 1 1541 专利代理师 苏利 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/0631(2022.01)H04L 69/22(2022.01) (56)对比文件 CN 108259482 A,2018.07.0 6 CN 112988762 A,2021.0 6.18 CN 112039841 A,2020.12.04 CN 106338975 A,2017.01.18 CN 114972827 A,202 2.08.30 审查员 董智青 (54)发明名称 一种网络安全报警归并方法、 装置及 存储介 质 (57)摘要 本申请实施例公开了一种网络安全报警归 并方法、 装置及存储介质， 其中网络安全报警归 并方法包括步骤： 获取安全报警的请求头， 请求 头包括请求头字段和请求头内容， 从请求头字段 中抽取顶级布局特征； 对请求头内容进行预解 码， 以使请求头内容统一化； 将预解码后的请求 头内容进行分词， 对 得到的第一单词按照对应的 第一单词词向量的顺序进行混编， 得到二级布局 特征； 获取安全报警的请求体， 对请求体进行处 理， 得到请求体布局特征； 将请求头的顶级布局 特征、 二级布局特征和/或请求体布局特征与对 应的历史安全报警特征数据进行距离计算， 得到 相似度， 根据相似度和预设相似度阈值对安全报 警进行归并。 权利要求书2页 说明书10页 附图1页 CN 115277248 B 2022.12.27 CN 115277248 B 1.一种网络安全报警归并方法， 其特 征在于， 包括以下步骤： 获取安全报警的请求头， 所述请求头包括请求头字段和请求头内容， 从所述请求头字 段中抽取顶级布局特 征； 对所述请求头内容进行 预解码， 以使所述请求头内容统一 化； 将预解码后的所述请求头 内容进行分词， 对得到的第 一单词按照对应的第 一单词词向 量的顺序进行混编， 得到二级布局特 征； 所述二级布局特征包括第一二级布局特征和/或第二二级布局特征， 所述第一二级布 局特征根据攻击特征简约指纹库的编 码顺序对所述第一单词进行排列后得到， 所述第二二 级布局特征根据不在所述攻击特征简约指纹库中的所述第一单词词向量的编码顺序进行 排序后得到； 建立所述攻击特征简约指纹库的方法包括： 根据基础的攻击特征建立若干攻击指纹， 针对所述 攻击指纹的类型建立对应的第二单词 词向量， 得到所述 攻击特征简约指纹库； 所述攻击指纹包括针对目标系统的弱点进行渗透的指令、 命令或代码片段； 所述第二单词 词向量的组织方式为： signature={< c,w>} 其中， signature为所述攻击指纹， c为第二单词词向量类型， 而w为所述攻击指纹所对 应的第二单词的对应编码， 采用独热 方式编码； 获取所述安全报警的请求体， 对所述请求体进行处 理， 得到请求体布局特 征； 将所述请求头的所述顶级布局特征、 所述二级布局特征和/或所述请求体布局特征与 对应的历史安全报警特征数据进行距离计算， 得到相似度， 根据所述相似度和预设相似度 阈值对所述 安全报警进行归并。 2.根据权利要求1所述的网络安全报 警归并方法， 其特征在于， 从所述请求头字段中抽 取所述顶级布局特 征的方法包括： 对所述请求头字段的类型进行分截， 按照分截后的所述请求头字段的顺序进行编码， 得到所述顶级布局特 征。 3.根据权利要求1所述的网络安全报警归并方法， 其特征在于， 对所述请求体进行处 理， 得到所述请求体布局特 征的方法包括： 判断所述请求体的类型， 所述请求体的类型包括数据、 命令和程序片段； 若所述请求体的类型为所述数据， 则进行 标识后得到所述请求体布局特 征； 若所述请求体的类型为所述命令， 则根据 所述攻击特征简约指纹库将所述命令变换为 第三单词 词向量， 得到所述请求体布局特 征； 若所述请求体的类型为所述程序片段， 则将所述程序片段中的代码转换成抽象语法树 形成代码片段比较单 元， 得到所述请求体布局特 征。 4.根据权利要求1所述的网络安全报 警归并方法， 其特征在于， 根据所述相似度和所述 预设相似度阈值对所述 安全报警进行归并的方法包括： 根据所述相似度通过计算获取整体相似度， 所述整体相似度的公式为： Simularity(a1,a2) = 其中， Simularity为整体相似度， a1和a2分别为所述历史安全报警和当前的所述安全报权　利　要　求　书 1/2 页 2 CN 115277248 B 2警， wi为所述请求头的所述顶级布局特征、 所述第一二级布局特或第二二级布局特征对应 的所述相似度的权重， si为所述请求头 的所述顶级布局特征、 所述第一二级布局特或第二 二级布局特征对应的所述相似度的值， 为控制参 数， 0＜ ＜1， w4为所述请求体布局特征对 应的所述相似度的权 重， 为所述请求体布局特 征对应的所述相似度的值； 将所述整体相似度与 所述预设相似度阈值进行比较， 超过所述预设相似度阈值的所述 整体相似度所对应的所述 安全报警归并为 一类。 5.根据权利要求1所述的网络安全报警归并方法， 其特 征在于， 还 包括： 获取所述安全报警的元数据， 所述元数据包括网络五元组信息、 报警名称、 报警分类、 严重程度、 初步分类信息 。 6.一种网络安全报警归并装置， 其特 征在于， 包括： 存储器； 以及 与所述存 储器连接的处 理器， 所述处 理器被配置成： 获取安全报警的请求头， 所述请求头包括请求头字段和请求头内容， 从所述请求头字 段中抽取顶级布局特 征； 对所述请求头内容进行 预解码， 以使所述请求头内容统一 化； 将预解码后的所述请求头 内容进行分词， 对得到的第 一单词按照对应的第 一单词词向 量的顺序进行混编， 得到二级布局特 征； 所述二级布局特征包括第一二级布局特征和/或第二二级布局特征， 所述第一二级布 局特征根据攻击特征简约指纹库的编 码顺序对所述第一单词进行排列后得到， 所述第二二 级布局特征根据不在所述攻击特征简约指纹库中的所述第一单词词向量的编码顺序进行 排序后得到； 建立所述攻击特征简约指纹库的方法包括： 根据基础的攻击特征建立若干攻击指纹， 针对所述 攻击指纹的类型建立对应的第二单词 词向量， 得到所述 攻击特征简约指纹库； 所述攻击指纹包括针对目标系统的弱点进行渗透的指令、 命令或代码片段； 所述第二单词 词向量的组织方式为： signature={< c,w>} 其中， signature为所述攻击指纹， c为第二单词词向量类型， 而w为所述攻击指纹所对 应的第二单词的对应编码， 采用独热 方式编码； 获取所述安全报警的请求体， 对所述请求体进行处 理， 得到请求体布局特 征； 将所述请求头的所述顶级布局特征、 所述二级布局特征和/或所述请求体布局特征与 对应的历史安全报警特征数据进行距离计算， 得到相似度， 根据所述相似度和预设相似度 阈值对所述 安全报警进行归并。 7.一种计算机存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序被机器 执行时实现如权利要求1至 5中任一项所述的方法的步骤。权　利　要　求　书 2/2 页 3 CN 115277248 B 3