【技术实现步骤摘要】
【国外来华专利技术】数据处理系统中的警报管理
技术介绍
[0001]本专利技术总体上涉及数据处理系统中的警报管理,尤其涉及用于动态更新警报管理系统的方法和系统,所述警报管理系统将警报与用于处理警报的自动化过程相匹配。
[0002]当某些可检测的条件或其他事件发生时,在数据处理系统中生成警报,这对系统操作的整体管理很重要。在诸如计算机网络、数据中心、云计算系统和其他复杂IT基础设施的处理系统中,可能会生成大量这样的警报。这些警报包括对已发生事件的描述,必须进行适当的处理和处置,以缓解警报状况并维持可靠的系统运行。警报管理系统接收并处理警报,决定哪些可以由自动化流程(“自动机(automata)”)处理,哪些应该上报给系统工程师进行响应。自动机的使用允许警报管理系统每天管理数百万个警报。可以使用预定义的规则将警报与自动机相匹配,以基于警报描述来决定哪个(如果有的话)自动化工具适合于响应警报。
[0003]自动机通常在潜在敏感系统上以提升的权限运行。部署这些工具的规则集必须仔细构建,并且需要不断的人工检查和维护。随着处理系统的发展和基础设施的改变,警报也会随之改变。适应这种改变,同时确保自动机的有效和适当的使用提出了重大的挑战。
技术实现思路
[0004]本专利技术的一个方面提供了一种用于动态更新警报管理系统的计算机实现方法,该警报管理系统使用主规则集将数据处理系统中的警报与用于处理警报的自动化过程(“自动机”)相匹配。该方法包括使用训练数据集训练机器学习模型以将警报与自动机关联,该训练数据集包括由自动机成功处理的匹配警报。然后应用机器 ...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于动态更新警报管理系统的计算机实现的方法,所述警报管理系统使用主规则集来将数据处理系统中的警报与用于处理所述警报的自动过程(“自动机”)相匹配,所述方法包括:由一个或多个处理器训练机器学习模型,以使用包括由所述自动机成功处理的匹配警报的训练数据集将所述警报与所述自动机相关联;由所述一个或多个处理器应用所述机器学习模型来将未匹配警报与所述自动机相关联,其中所述未匹配警报没有被所述主规则集匹配到所述自动机;由所述一个或多个处理器分析与不匹配警报的关联相关的机器学习模型的操作,以定义用于将所述不匹配警报与所述自动机匹配的新规则集;由所述一个或多个处理器输出所述新规则集,用于审计所述新规则集中的每个规则;以及响应于所述新规则集的审计的规则的批准,由所述一个或多个处理器将审计的规则添加到所述主规则集。2.根据权利要求1所述的计算机实现的方法,其中:所述机器学习模型包括树集成模型;并且分析所述机器学习模型的操作的步骤还包括:由所述一个或多个处理器基于通过所述树集成模型中的树的路径的特征生成新树,不匹配警报经由所述路径与自动机关联,其中所述新树定义所述新规则集。3.根据权利要求2所述的计算机实现的方法,还包括:由所述一个或多个处理器基于为每个路径计算的置信度值修剪所述路径,其中所述置信度值是关联准确度的估计;以及由所述一个或多个处理器基于未修剪路径的特征生成所述新树。4.根据权利要求2所述的计算机实现的方法,还包括:由所述一个或多个处理器基于经由相应路径与所述自动机关联的不匹配警报的数量来修剪路径;以及由所述一个或多个处理器基于未修剪路径的特征生成所述新树。5.根据权利要求2所述的计算机实现的方法,还包括:由所述一个或多个处理器基于为每个路径计算的置信度值和经由相应路径与所述自动机关联的不匹配警报的数量来修剪路径,其中所述置信度值是对关联准确度的估计;以及由所述一个或多个处理器基于未修剪路径的特征生成所述新树。6.根据权利要求2所述的计算机实现的方法,其中,分析所述机器学习模型的操作的步骤还包括:由所述一个或多个处理器基于显著性值从所述树集成模型的树中选择特征,每个显著性值指示用于将所述训练数据集中的警报与相应不匹配警报所关联的自动机之一关联的相关联特征的重要性;以及由所述一个或多个处理器基于所选择的特征生成所述新树。7.根据权利要求6所述的计算机实现的方法,还包括:由所述一个或多个处理器基于经由包括每个特征的路径与所述自动机关联的不匹配
警报的数量来修剪所选择的特征;以及由所述一个或多个处理器基于未修剪特征生成所述新树。8.根据权利要求6所述的计算机实现的方法,还包括:由所述一个或多个处理器基于为相应路径计算的置信度值来修剪所选择的特征,所述不匹配警报经由所述相应路径与所述自动机关联,并且所述相应路径包括所选择的特征中的相应所选择的特征,其中所述置信度值是对关联准确度的估计;以及由所述一个或多个处理器基于未修剪特征生成所述新树。9.根据权利要求6所述的计算机实现的方法,还包括:由所述一个或多个处理器基于经由包括每个特征的路径与所述自动机关联的不匹配警报的数量,并且基于为相应路径计算的置信度值,修剪所选择的特征,其中所述置信度值是对关联准确度的估计;以及由所述一个或多个处理器基于未修剪特征生成所述新树。10.根据权利要求1所述的计算机实现的方法,其中,分析所述机器学习模型的操作的步骤还包括:响应于应用所述机器学习模型来获得不匹配警报的关联结果,由所述一个或多个处理器使用模型独立解释技术来识别所述警报的至少一个元素作为所述关联结果的重要元素;以及由所述一个或多个处理器基于所述不匹配警报的至少一个元素生成所述新规则集。11.根据权利要求1所述的计算机实现的方法,其中,分析所述机器学习模型的操作的步骤还包括:当应用所述机器学习模型来关联每个不匹配警报时,由所述一个或多个处理器计算初始关联结果的初始置信度值,其中所述初始置信度值是关联准确度的估计;对于所述警报的不同元素,由所述一个或多个处理器移除所述元素,并将所述机器学习模型重新应用于所得警报,以计算所述初始关联结果的新置信度值;基于不同元素的初始置信度值和新置信度值之间的差异,由所述一个或多个处理器将所...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。