【技术实现步骤摘要】
一种安全告警事件自主学习判定方法及系统
[0001]本专利技术属于数据处理
,涉及一种安全告警事件自主学习判定方法及系统。
技术介绍
[0002]企业中存在许多流量探针、网站监测等原始告警数据,如图4所示,现有的告警数据转换为安全事件这个流程全部靠人工判断处理,安全监管人员需要对数据进行人工审查,判断哪些数据是系统安全隐患、漏洞。告警数据存在数据量大、维度多、实时性强等特征,常见的告警数据通常包括10
‑
20个属性,如:类别、等级、描述IP、协议、端口等原数据。人工审核员需要按规定核查这些属性并做出判断。假定审核员1分钟能够判断完一条告警数据,按8小时工作时间来算,一天一位审核员只能审核8*60=480条告警。如果一天要处理48000条数据量的处理,那就需要100个审核员,如果是480万条数据,那就需要1万个审核员,这显然是不现实的。人工审核的效率是无法满足日益增长的数据量和对实时性要求越来越高的企业需求的,而且人工判断存在失误、看漏、效率低等缺陷。
[0003]为解决人工审核的困境,需要引入机器去自动处理。将判定的规则设置到系统中,收到告警数据后,到规则库中去匹配,如果能匹配上,则进行相应的处理。然而,传统的规则处理也有一定局限性,规则设定后通常不再变动,如果规则有误差,错误会不断累积。同时,在遇到规则未覆盖到的数据时,就会漏判。现有技术中,公开号CN110457906A、公开日期为2019年11月15日的中国专利技术专利申请《一种网络安全事件智能告警方法》公开了超参数优化步骤:基于 ...
【技术保护点】
【技术特征摘要】
1.一种安全告警事件自主学习判定方法,其特征在于,包括以下步骤:S1、构造安全事件判断模型,所述的安全事件判断模型包括:得分函数和判断函数;S2、对安全事件判断模型进行训练:将得分函数的各个权重值进行初始化,读取历史数据样本集,将历史数据样本集转化为矩阵形式,将矩阵中的每个告警数据输入到得分函数求出对应的得分值,将每个告警数据的得分值代入判断函数得到计算结果;S3、计算结果的误差修正:用告警数据的真实结果减去对应的计算结果得到结果误差值,并对结果误差值进行评判,根据评判结果调整得分函数的各个权重值并完成安全事件判断模型的训练;S4、输入当前告警数据进行判断:将当前告警数据代入训练好的得分函数中,从而得到当前告警数据的得分值,将得分值代入判断函数得到计算结果,根据计算结果判断当前告警数据是否为安全漏洞。2.根据权利要求1所述的一种安全告警事件自主学习判定方法,其特征在于,步骤S1中所述的得分函数为y=w0+w1x1+
…
+w
n
x
n
,所述的判断函数为h(y)=sigmoid(y);其中,x1…
x
n
分别表示告警数据对应的第1个
…
第n个因变量,w1…
w
n
分别是x1…
x
n
的权重值;w0是固定值,用来调整输出值。3.根据权利要求1所述的一种安全告警事件自主学习判定方法,其特征在于,步骤S2中所述的历史数据样本集包括:属性值及判断结果,所述的属性值包括告警类型、告警等级、资产数量、应用层协议、告警端口。4.根据权利要求1所述的一种安全告警事件自主学习判定方法,其特征在于,步骤S3中采用平方损失函数或对数损失函数对结果误差值进行评判。5.根据权利要求1所述的一种安全告警事件自主学习判定方法,其特征在于,步骤S3中根据评判结果调整得分函数的各个权重值并完成安全事件判断模型的训练包括:步骤S31,当结果误差值为正时,调低得分函数的各个权重值,当结果误差值为负时,调高积分函数的各个权重值;步骤S32,根据调整后的得分函数获得各告警数据的新得分值;重复步骤S31和S32,当新得分值最优时,完成安全事件判断模型的训练。6.一种安全告警事件自主学习判定系统,其特征...
【专利技术属性】
技术研发人员:孙宇,胡绍勇,
申请(专利权)人:上海观安信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。