一种安全告警事件自主学习判定方法及系统技术方案

一种安全告警事件自主学习判定方法及系统，属于数据处理技术领域，解决在海量告警数据的情况下，如何通过自主学习判断某一告警数据是否为安全漏洞的问题；通过构造安全事件判断模型、对安全事件判断模型进行训练、计算结果的误差修正以及输入当前告警数据进行判断；对历史告警数据的学习，掌握其特征，对新的数据进行自动研断，无需人工面对海量原始数据，减少人工失误，大大提升效率。大大提升效率。大大提升效率。

【技术实现步骤摘要】
一种安全告警事件自主学习判定方法及系统


[0001]本专利技术属于数据处理
，涉及一种安全告警事件自主学习判定方法及系统。

技术介绍

[0002]企业中存在许多流量探针、网站监测等原始告警数据，如图4所示，现有的告警数据转换为安全事件这个流程全部靠人工判断处理，安全监管人员需要对数据进行人工审查，判断哪些数据是系统安全隐患、漏洞。告警数据存在数据量大、维度多、实时性强等特征，常见的告警数据通常包括10
‑
20个属性，如：类别、等级、描述IP、协议、端口等原数据。人工审核员需要按规定核查这些属性并做出判断。假定审核员1分钟能够判断完一条告警数据，按8小时工作时间来算，一天一位审核员只能审核8*60＝480条告警。如果一天要处理48000条数据量的处理，那就需要100个审核员，如果是480万条数据，那就需要1万个审核员，这显然是不现实的。人工审核的效率是无法满足日益增长的数据量和对实时性要求越来越高的企业需求的，而且人工判断存在失误、看漏、效率低等缺陷。
[0003]为解决人工审核的困境，需要引入机器去自动处理。将判定的规则设置到系统中，收到告警数据后，到规则库中去匹配，如果能匹配上，则进行相应的处理。然而，传统的规则处理也有一定局限性，规则设定后通常不再变动，如果规则有误差，错误会不断累积。同时，在遇到规则未覆盖到的数据时，就会漏判。现有技术中，公开号CN110457906A、公开日期为2019年11月15日的中国专利技术专利申请《一种网络安全事件智能告警方法》公开了超参数优化步骤：基于网络安全历史数据，对于遵从分位数回归的长短期记忆网络模型的模型参数θ进行超参数优化,得到遵从分位数回归的长短期记忆网络模型的优选模型参数训练固化步骤：基于遵从分位数回归的长短期记忆网络模型的优选模型参数离线训练并固化遵从分位数回归的长短期记忆网络模型；智能告警区间计算步骤：基于网络安全在线数据，通过遵从分位数回归的长短期记忆网络模型计算网络安全的智能告警区间；区间比较步骤：将网络安全在线数据与智能告警区间进行比较，如果网络安全在线数据超出智能告警区间则告警。但是该文献并未解决机器学习的智能研判算法在遇到规则未覆盖到的数据时会漏判的现象。

技术实现思路

[0004]本专利技术的目的在于设计一种安全告警事件自主学习判定方法及系统，以解决在海量告警数据的情况下，如何通过自主学习判断某一告警数据是否为安全漏洞的问题。
[0005]本专利技术是通过以下技术方案解决上述技术问题的：
[0006]一种安全告警事件自主学习判定方法，包括以下步骤：
[0007]S1、构造安全事件判断模型，所述的安全事件判断模型包括：得分函数和判断函数；
[0008]S2、对安全事件判断模型进行训练：将得分函数的各个权重值进行初始化，读取历
史数据样本集，将历史数据样本集转化为矩阵形式，将矩阵中的每个告警数据输入到得分函数求出对应的得分值，将每个告警数据的得分值代入判断函数得到计算结果；
[0009]S3、计算结果的误差修正：用告警数据的真实结果减去对应的计算结果得到结果误差值，并对结果误差值进行评判，根据评判结果调整得分函数的各个权重值并完成安全事件判断模型的训练；
[0010]S4、输入当前告警数据进行判断：将当前告警数据代入训练好的得分函数中，从而得到当前告警数据的得分值，将得分值代入判断函数得到计算结果，根据计算结果判断当前告警数据是否为安全漏洞。
[0011]本专利技术的技术方案通过构造安全事件判断模型，对历史告警数据的学习，掌握其特征，并计算结果的误差修正，输入当前告警数据进行判断，对新的数据进行自动研断，无需人工面对海量原始数据，减少人工失误，大大提升效率。
[0012]作为本专利技术技术方案的进一步改进，步骤S1中所述的得分函数为y＝w0+w1x1+
…
+w
n
x
n
，所述的判断函数为h(y)＝sigmoid(y)；其中，x1…
x
n
分别表示告警数据对应的第1个
…
第n个因变量，w1…
w
n
分别是x1…
x
n
的权重值；w0是固定值，用来调整输出值。
[0013]作为本专利技术技术方案的进一步改进，步骤S2中所述的历史数据样本集包括：属性值及判断结果，所述的属性值包括告警类型、告警等级、资产数量、应用层协议、告警端口。
[0014]作为本专利技术技术方案的进一步改进，步骤S3中采用平方损失函数或对数损失函数对结果误差值进行评判。
[0015]作为本专利技术技术方案的进一步改进，步骤S3中根据评判结果调整得分函数的各个权重值并完成安全事件判断模型的训练包括：
[0016]步骤S31，当结果误差值为正时，调低得分函数的各个权重值，当结果误差值为负时，调高积分函数的各个权重值；
[0017]步骤S32，根据调整后的得分函数获得各告警数据的新得分值；
[0018]重复步骤S31和S32,当新得分值最优时，完成安全事件判断模型的训练。
[0019]一种安全告警事件自主学习判定系统，包括：模型构建模块、模型训练模块、误差修正模块、判断模块；
[0020]所述的模型构建模块用于构造安全事件判断模型，所述的安全事件判断模型包括：得分函数和判断函数；
[0021]所述的模型训练模块用于对安全事件判断模型进行训练：将得分函数的各个权重值进行初始化，读取历史数据样本集，将历史数据样本集转化为矩阵形式，将矩阵中的每个告警数据输入到得分函数求出对应的得分值，将每个告警数据的得分值代入判断函数得到计算结果；
[0022]所述的误差修正模块用于计算结果的误差修正：用告警数据的真实结果减去对应的计算结果得到结果误差值，并对结果误差值进行评判，根据评判结果调整得分函数的各个权重值并完成安全事件判断模型的训练；
[0023]所述的判断模块用于输入当前告警数据进行判断：将当前告警数据代入训练好的得分函数中，从而得到当前告警数据的得分值，然后将得分值代入判断函数得到计算结果，从而判断当前告警数据是否为安全漏洞。
[0024]作为本专利技术技术方案的进一步改进，模型构建模块中所述的得分函数为y＝w0+
w1x1+
…
+w
n
x
n
，所述的判断函数为h(y)＝sigmoid(y)；其中，x1…
x
n
分别表示告警数据对应的第1个
…
第n个因变量，w1…
w
n
分别是x1…
x
n
的权重值；w0是固定值，用来调整输出值。
[0025]作为本专利技术技术方案的进一步改进，模型训练模块中所述的历史数据样本集包括：属性值及判断结果，所述的属性值包括告警类型、告警等级、资产数量、应用层协议、告警端口。
[0026]作为本专利技术技术方案的进一步改进，误差本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种安全告警事件自主学习判定方法，其特征在于，包括以下步骤：S1、构造安全事件判断模型，所述的安全事件判断模型包括：得分函数和判断函数；S2、对安全事件判断模型进行训练：将得分函数的各个权重值进行初始化，读取历史数据样本集，将历史数据样本集转化为矩阵形式，将矩阵中的每个告警数据输入到得分函数求出对应的得分值，将每个告警数据的得分值代入判断函数得到计算结果；S3、计算结果的误差修正：用告警数据的真实结果减去对应的计算结果得到结果误差值，并对结果误差值进行评判，根据评判结果调整得分函数的各个权重值并完成安全事件判断模型的训练；S4、输入当前告警数据进行判断：将当前告警数据代入训练好的得分函数中，从而得到当前告警数据的得分值，将得分值代入判断函数得到计算结果，根据计算结果判断当前告警数据是否为安全漏洞。2.根据权利要求1所述的一种安全告警事件自主学习判定方法，其特征在于，步骤S1中所述的得分函数为y＝w0+w1x1+
…
+w
n
x
n
，所述的判断函数为h(y)＝sigmoid(y)；其中，x1…
x
n
分别表示告警数据对应的第1个
…
第n个因变量，w1…
w
n
分别是x1…
x
n
的权重值；w0是固定值，用来调整输出值。3.根据权利要求1所述的一种安全告警事件自主学习判定方法，其特征在于，步骤S2中所述的历史数据样本集包括：属性值及判断结果，所述的属性值包括告警类型、告警等级、资产数量、应用层协议、告警端口。4.根据权利要求1所述的一种安全告警事件自主学习判定方法，其特征在于，步骤S3中采用平方损失函数或对数损失函数对结果误差值进行评判。5.根据权利要求1所述的一种安全告警事件自主学习判定方法，其特征在于，步骤S3中根据评判结果调整得分函数的各个权重值并完成安全事件判断模型的训练包括：步骤S31，当结果误差值为正时，调低得分函数的各个权重值，当结果误差值为负时，调高积分函数的各个权重值；步骤S32，根据调整后的得分函数获得各告警数据的新得分值；重复步骤S31和S32,当新得分值最优时，完成安全事件判断模型的训练。6.一种安全告警事件自主学习判定系统，其特征...

【专利技术属性】
技术研发人员：孙宇，胡绍勇，
申请(专利权)人：上海观安信息技术股份有限公司，
类型：发明
国别省市：