安全告警智能排查方法、网络设备及存储介质技术

本申请提供了安全告警智能排查方法、网络设备及储介质，其中，方法包括获取安全事件数据；抽取K数量个安全事件并标记告警事件；利用分类模型对所标记的K个安全事件进行分类训练；获取每个安全事件为告警事件的概率；根据获取的K个安全事件每个事件发生告警的概率计算新的K值；通过计算得到的新的K值对原K值进行迭代处理；计算安全事件的错报漏报率；当错报漏报率小于预设值，则分类模型收敛；当错报漏报率大于等于预设值，通过迭代K值继续训练分类模型。本申请实施例工作人员只需对抽检的K数量个安全事件数据进行标记，大大减少了工作人员的工作量。作人员的工作量。作人员的工作量。

【技术实现步骤摘要】
安全告警智能排查方法、网络设备及存储介质


[0001]本申请涉及通讯设备
，尤其涉及安全告警智能排查方法、网络设备及存储介质。

技术介绍

[0002]随着互联网行业的快速发展和应用创新的突飞猛进，网络流量的类型多样化、演变形和复杂性都随着新型网络应用及网络协议的不断涌现而日益增长，同时网络运营服务商和网络监管部门对了解网络流量构成、实施网络差异化服务，以及净化网络环境等诉求也愈强烈。其中，安全管理平台的安全告警是安全管理平台分析的基础，大多设备基于规则，阈值设定等进行上报告警日志，导致每天上报成千上万安全告警日志，一定程度给安全管理员排查、处置带来巨大的工作压力。
[0003]基于机器学习的攻击判定分类方法，需要大量带有真实标签的样本来训练分类器，但是获取大量真实标签需要耗费大量人力物力。因此针对实际信息安全应用场景下，基于安全管理平台上报的大量安全事件进行标记存在着工作量大，无法完成的问题。这里所进行的标记式这些安全事件是否是告警事件。例如是告警事件，则标记1，不是告警事件标记0。

技术实现思路

[0004]为了克服相关技术中存在的问题，本申请提供了安全告警智能排查方法、网络设备及存储介质。
[0005]根据本申请实施例第一方面安全告警智能排查方法，包括：
[0006]获取安全事件数据；
[0007]抽取K数量个安全事件并标记告警事件；
[0008]利用分类模型对所标记的K个安全事件进行分类训练；
[0009]获取每个安全事件为告警事件的概率；<br/>[0010]根据获取的K个安全事件每个事件发生告警的概率计算新的K值；
[0011]通过计算得到的新的K值对原K值进行迭代处理；
[0012]计算安全事件的错报漏报率；
[0013]当错报漏报率小于预设值，则分类模型收敛；
[0014]当错报漏报率大于等于预设值，通过迭代K值继续训练分类模型。
[0015]优选的，抽取K数量个安全事件，包括：
[0016]当判断为迭代初始，采用无监督算法对安全事件进行排序；
[0017]获取排序靠前的K数量个安全事件，并标记是否是告警事件；
[0018]当判断不是迭代初始，获取迭代后的K数量个安全事件；
[0019]利用迭代后的K数量个安全事件进行分类模型预测，获取每个安全事件的预测概率；
[0020]利用迭代后的K数量个安全事件进行基于无监督算法计算并进行排序；
[0021]基于安全事件的预测概率进行预测概率排序和预测概率的熵值计算与熵值排序；
[0022]抽取迭代后的所述无监督算法排序后的前K/3的安全事件；
[0023]抽取预测概率排序后概率大的前K/3的安全事件；
[0024]抽取熵值排序靠前的K/3的安全事件；
[0025]将迭代后的所述无监督算法排序后的前K/3的安全事件，预测概率排序后概率大的前K/3的安全事件和熵值排序靠前的K/3的安全事件组合成K数量个安全事件。
[0026]进一步地，无监督算法排序可以基于特征异常检测算法或使用图排序算法。
[0027]进一步地，图排序算法的公式：
[0028][0029][0030]其中，a表示权重值，h表示节点，基于h结果进行排序。
[0031]进一步地，特征异常检测算法基于标记得分异常的事件进行排序。
[0032]优选的，通过计算获取新的K值，包括：
[0033]基于预测概率中基于标记为是告警事件和不是告警事件的概率计算对应的熵值；
[0034]对所述K个安全事件的熵值进行排序；
[0035]预设安全事件发生概率在0.5的有m个，则K/3+K6≈m；
[0036]计算得到K≈2m。
[0037]进一步地，基于预测概率中基于标记为是告警事件和不是告警事件的概率计算对应的熵值公式：
[0038][0039]其中，p(x
i
)表示告警事件发生的概率，n＝1,2。
[0040]优选的，计算安全事件的错报漏报率，包括：
[0041]获取一批新的安全事件数据；
[0042]将新一批的安全事件以K值迭代的方式输入分类模型预测告警事件；
[0043]将新一批的安全事件通过标记告警事件；
[0044]将预测得到的告警事件与标记的告警事件进行比较，计算预测得到告警事件的漏报错报率。
[0045]本申请实施例第二方面提供了网络设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行程序时执行上述安全告警智能排查方法。
[0046]本申请实施例第三方面提供理论存储介质，其上存储有计算机程序指令，程序指令被处理器执行时用于实现上述安全告警智能排查方法。
[0047]本申请实施例提供的技术方案可以包括以下有益效果：
[0048]本申请实施例中工作人员只需对抽检的K数量个安全事件数据进行标记，大大减
少了工作人员的工作量。
[0049]应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本申请。
附图说明
[0050]此处的附图被并入申请中并构成本申请的一部分，示出了符合本申请的实施例，并与申请一起用于解释本申请的原理。
[0051]图1是本申请实施例流程示意图；
[0052]图2是本申请中K数量个安全事件的获取方法示意图；
[0053]图3是本申请图排序算法示意图；
[0054]图4是本申请计算获取新的K值的方式示意图；
[0055]图5是本申请计算安全事件的错报漏报率示意图。
具体实施方式
[0056]这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0057]为解决
技术介绍
存在的问题，本申请实施例提供了安全告警智能排查方法，如图1所示，包括：
[0058]获取安全事件数据；
[0059]抽取K数量个安全事件并标记告警事件；
[0060]利用分类模型对所标记的K个安全事件进行分类训练；
[0061]获取每个安全事件为告警事件的概率；
[0062]根据获取的K个安全事件每个事件发生告警的概率计算新的K值；
[0063]通过计算得到的新的K值对原K值进行迭代处理；
[0064]计算安全事件的错报漏报率；
[0065]当错报漏报率小于预设值，则分类模型收敛；
[0066]当错报漏报率大于等于预设值，需要通过迭代K值继续训练分类模型。
[0067]本申请实施例因为每次只抽取K数量个安全事件通过模型进行预测和安全事件标本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.安全告警智能排查方法，其特征在于，包括：获取安全事件数据；抽取K数量个安全事件并标记告警事件；利用分类模型对所标记的K个安全事件进行分类训练；获取每个安全事件为告警事件的概率；根据获取的K个安全事件每个事件发生告警的概率计算新的K值；通过计算得到的新的K值对原K值进行迭代处理；计算安全事件的错报漏报率；当错报漏报率小于预设值，则分类模型收敛；当错报漏报率大于等于预设值，通过迭代K值继续训练分类模型。2.根据权利要求1所述的安全告警智能排查方法，其特征在于，抽取K数量个安全事件，包括：当判断为迭代初始，采用无监督算法对安全事件进行排序；获取排序靠前的K数量个安全事件，并标记是否是告警事件；当判断不是迭代初始，获取迭代后的K数量个安全事件；利用迭代后的K数量个安全事件进行分类模型预测，获取每个安全事件的预测概率；利用迭代后的K数量个安全事件进行基于无监督算法计算并进行排序；基于安全事件的预测概率进行预测概率排序和预测概率的熵值计算与熵值排序；抽取迭代后的所述无监督算法排序后的前K/3的安全事件；抽取预测概率排序后概率大的前K/3的安全事件；抽取熵值排序靠前的K/3的安全事件；将迭代后的所述无监督算法排序后的前K/3的安全事件，预测概率排序后概率大的前K/3的安全事件和熵值排序靠前的K/3的安全事件组合成K数量个安全事件。3.根据权利要求2所述的安全告警智能排查方法，其特征在于，所述无监督算法排序可以基于特征异常检测算法或使用图排序算法。4.根据权利要求3所述的安全告警智能排查方法，其特征在于，所述图排序算法的...

【专利技术属性】
技术研发人员：金兆岩，尚素绢，
申请(专利权)人：新华三信息安全技术有限公司，
类型：发明
国别省市：