一种网络安全事件智能告警方法技术

本发明专利技术公开了一种网络安全事件智能告警方法,包括下列步骤:超参数优化步骤：基于网络安全历史数据，对于遵从分位数回归的长短期记忆网络模型的模型参数θ进行超参数优化,得到遵从分位数回归的长短期记忆网络模型的优选模型参数

An intelligent alarm method for network security events

The invention discloses an intelligent alarm method for network security events, which comprises the following steps: the step of super parameter optimization: Based on the historical data of network security, the super parameter optimization is carried out for the model parameter \u03b8 of the long-term memory network model complying with quantile regression, and the optimal model parameter of the long-term memory network model complying with quantile regression is obtained

【技术实现步骤摘要】
一种网络安全事件智能告警方法
本专利技术涉及网络安全领域的一种网络安全事件智能告警方法。
技术介绍
当前网络安全监控平台的安全告警规则中存在以下问题，比如安全告警规则中触发告警的阀值都是静态设置的，没有在复杂的网络环境中细化更合理的阀值动态设置，存在准确性不高的缺点，人工调整阈值参数工作量大，依赖人工经验，对于网络安全事件响应的智能化程度不够，无法适应日益严峻的网络安全形势。
技术实现思路
本专利技术的目的是为了克服现有技术的不足，提供一种网络安全事件智能告警方法，其可以根据网络安全历史数据，通过遵从分位数回归的长短期记忆网络的机器学习，实现告警阈值的全自动设置。实现上述目的的一种技术方案是：一种网络安全事件智能告警方法,包括下列步骤:超参数优化步骤：基于网络安全历史数据，对于遵从分位数回归的长短期记忆网络模型的模型参数θ进行超参数优化,得到遵从分位数回归的长短期记忆网络模型的优选模型参数训练固化步骤：基于遵从分位数回归的长短期记忆网络模型的优选模型参数离线训练并固化遵从分位数回归的长短期记忆网络模型；智能告警区间计算步骤：基于网络安全在线数据，通过遵从分位数回归的长短期记忆网络模型计算网络安全的智能告警区间；区间比较步骤：将网络安全在线数据与智能告警区间进行比较，如果网络安全在线数据超出智能告警区间则告警。进一步的，所述网络安全事件智能告警方法还包括告警分类步骤。进一步的，超参数优化步骤中，令f(Xi,θ)为遵从分位数回归的长短期记忆网络模型的分位数回归函数，令ρu为遵从分位数回归的长短期记忆网络模型的损失函数；令ρu的下分位数ulo＝u/2，令ρu的上分位数uhi＝1-u/2；其中u∈(0,1)为显著性水平，则：再进一步的，训练固化步骤中，首先将从历史安全数据库中读取的网络安全历史数据的N个样本划分为不相交的两个子集，即训练集Γ1和校正集Γ2；基于训练集Γ1,训练上位数的回归模型下分位数的回归模型即：其中Β为分位数回归算子；基于校正集Γ2,即i∈Γ2,计算遵从分位数回归的长短期记忆网络模型的目标函数E，即计算总体分位数Q1-u，公式为：Q1-u(E,Γ2)＝(1-u)(1+1/|Γ2|)；输出预测区间C(X)，公式为：其中X∈Xi。采用了本专利技术的一种网络安全事件智能告警方法的技术方案,包括下列步骤:超参数优化步骤：基于网络安全历史数据，对于遵从分位数回归的长短期记忆网络模型的模型参数θ进行超参数优化,得到遵从分位数回归的长短期记忆网络模型的优选模型参数训练固化步骤：基于遵从分位数回归的长短期记忆网络模型的优选模型参数离线训练并固化遵从分位数回归的长短期记忆网络模型；智能告警区间计算步骤：基于网络安全在线数据，通过遵从分位数回归的长短期记忆网络模型计算网络安全的智能告警区间；区间比较步骤：将网络安全在线数据与智能告警区间进行比较，如果网络安全在线数据超出智能告警区间则告警。其技术效果是：其可以根据网络安全历史数据，通过遵从分位数回归的长短期记忆网络的机器学习，实现告警阈值的全自动设置。附图说明图1为本专利技术的一种网络安全事件智能告警方法的示意图。具体实施方式请参阅图1，本专利技术的专利技术人为了能更好地对本专利技术的技术方案进行理解，下面通过具体地实施例，并结合附图进行详细地说明：请参阅图1，本专利技术为了提高网络安全监控平台阈值设置的准确度和智能性，基于遵从分位数回归(ConformalizedQuantileRegressionCOR)的长短期记忆网络(longshort-termmemoryLSTM)模型，提出了本专利技术的一种网络安全事件智能告警方法。本专利技术的一种网络安全事件智能告警方法，包括下列步骤：离线步骤：超参数优化步骤：基于网络安全历史数据，对于遵从分位数回归的长短期记忆网络模型的模型参数进行超参数优化。从历史安全数据库中读取网络安全历史数据的N个样本Xi和Yi均为向量，对长短期记忆网络模型做分位数回归，分位数回归的优化目标函数是使加权误差绝对值之和的平均值最小化。令θ是遵从分位数回归的长短期记忆网络模型的模型参数，令f(Xi,θ)为遵从分位数回归的长短期记忆网络的分位数回归函数，令ρu为遵从分位数回归的长短期记忆网络模型的损失函数。令ρu的下分位数ulo＝u/2，令ρu的上分位数uhi＝1-u/2。其中u∈(0,1)为显著性水平。其中为遵从分位数回归的长短期记忆网络的优选模型参数。训练固化步骤：基于遵从分位数回归的长短期记忆网络模型的优选模型参数，训练并固化遵从分位数回归的长短期记忆网络模型。首先将从历史安全数据库中读取的网络安全历史数据的N个样本划分为不相交的两个子集，即训练集Γ1和校正集Γ2，通过校正集Γ2的覆盖宽度指标来计算最终的判别预测区间。基于训练集Γ1,训练上位数的回归模型下分位数的回归模型即：其中Β为分位数回归算子。基于校正集Γ2,即i∈Γ2,计算遵从分位数回归的长短期记忆网络模型的目标函数E，即计算总体分位数Q1-u，公式为：Q1-u(E,Γ2)＝(1-u)(1+1/|Γ2|)；输出预测区间C(X)，公式为：其中X∈Xi。在线计算步骤：动态阈值计算步骤：基于网络安全在线数据，通过基于遵从分位数回归的长短期记忆网络模型计算网络安全数据的智能告警区间。区间比较步骤：将网络安全在线数据与智能告警区间进行比较，如果网络安全在线数据超出智能告警区间则告警。告警分类步骤：根据网络安全在线数据与智能告警区间之间的对应关系，对告警事件进行分级分类，产生网络安全事件智能告警。本专利技术的一种网络安全事件智能告警方法，其可以根据网络安全历史数据，通过遵从分位数回归的长短期记忆网络的机器学习，实现告警阈值的全自动设置。本
中的普通技术人员应当认识到，以上的实施例仅是用来说明本专利技术，而并非用作为对本专利技术的限定，只要在本专利技术的实质精神范围内，对以上所述实施例的变化、变型都将落在本专利技术的权利要求书范围内。本文档来自技高网...

【技术保护点】
1.一种网络安全事件智能告警方法,包括下列步骤:/n超参数优化步骤：基于网络安全历史数据，对于遵从分位数回归的长短期记忆网络模型的模型参数θ进行超参数优化,得到遵从分位数回归的长短期记忆网络模型的优选模型参数

【技术特征摘要】
1.一种网络安全事件智能告警方法,包括下列步骤:
超参数优化步骤：基于网络安全历史数据，对于遵从分位数回归的长短期记忆网络模型的模型参数θ进行超参数优化,得到遵从分位数回归的长短期记忆网络模型的优选模型参数
训练固化步骤：基于遵从分位数回归的长短期记忆网络模型的优选模型参数离线训练并固化遵从分位数回归的长短期记忆网络模型；
智能告警区间计算步骤：基于网络安全在线数据，通过遵从分位数回归的长短期记忆网络模型计算网络安全的智能告警区间；
区间比较步骤：将网络安全在线数据与智能告警区间进行比较，如果网络安全在线数据超出智能告警区间则告警。


2.根据权利要求1所述的一种网络安全事件智能告警方法,其特征在于：其还包括告警分类步骤。


3.根据权利要求1所述的一种网络安全事件智能告警方法,其特征在于：超参数优化步骤中，令f(Xi,...

【专利技术属性】
技术研发人员：葛朝强，葛敏辉，翟海保，屈刚，张亮，
申请(专利权)人：国家电网公司华东分部，北京启明星辰信息安全技术有限公司，
类型：发明
国别省市：上海;31