本发明专利技术提供了一种告警数据的评分方法、系统及电子设备,涉及网络安全技术领域,该方法首先确定告警数据的置信度分数;然后利用告警数据确定的第一告警数据构建告警内存图,并将第一告警数据挂载至告警关联子图中;随后利用第一告警数据确定第二告警数据,根据第二告警数据的告警类型数量以及行为数据确定虚拟告警值;利用虚拟告警值确定的第三告警数据更新告警关联子图后得到告警数据的置信度分数;最后将置信度分数不低于第一阈值的告警数据确定为告警数据的评分结果。该方案利用低分告警数据建立的告警内存图,并通过分析各个告警数据之间的关联更全面的得到告警数据的置信度分数,从而提升告警置信度,降低了误报概率。降低了误报概率。降低了误报概率。
【技术实现步骤摘要】
告警数据的评分方法、系统及电子设备
[0001]本专利技术涉及网络安全
,尤其是涉及一种告警数据的评分方法、系统及电子设备。
技术介绍
[0002]当前随着技术的发展,网络攻击的频率、自动化程度和隐蔽性都大大提高,给网络安全带来了严峻的挑战,越来越多的用户开始重视安全防护。传统的网络安全措施如防火墙、入侵检测系统和入侵防御系统等在一定程度上可以提高网络的安全性,但面对日益复杂多样的攻击手段,往往无法明确判断是否发生入侵,而只能给出一个较低的告警分数。
[0003]在当前网络安全领域,处理低分告警的方法和技术仍然存在一定的局限性。传统的告警处理方法往往无法准确识别网络攻击的真实性,导致大量低分告警无法明确判定为入侵事件,也不能简单地将其丢弃。这给网络管理员带来了困扰,因为处理这些低分告警需要消耗大量的时间和人力资源,同时也增加了漏报的风险。总的来说,现有技术中的告警数据评分方案还存在以下问题:依赖评分规则,需要大量的人力写规则。传统的告警评分都是根据预置的规则来定的,为了能更加准确的描述告警的分数,势必要写大量的规则来描述告警行为,这对安全运营人员来说要求较高,而且入侵的行为是无限的,入侵规则也不能涵盖所有的入侵行为。
[0004]评分不够准确,容易误报。依赖入侵规则产生的告警,其分数一般不会再发生改变,对于有些不能明确认定为发生入侵行为,但是其行为又比较可疑或具有潜在威胁的行为,像这样的告警规则一般会给一个较低的分数,当系统中产生多个这样的低分告警如果又没有做进一步处理时大多告警都是误报。/>[0005]综上所述,现有技术中在告警数据的评分过程中还存在着评分规则复杂、置信度分值不够准确,误报较多的问题。
技术实现思路
[0006]有鉴于此,本专利技术的目的在于提供一种告警数据的评分方法、系统及电子设备,该方案通过对低分告警数据建立告警内存图,并获得其关联子图后建立全面详尽的评分机制,通过分析各个告警数据之间的关联,更全面的得到告警数据的置信度分数,从而提升了评分精度。
[0007]第一方面,本专利技术实施方式提供了一种告警数据的评分方法,该方法包括:接收待评分的告警数据,并利用预设的单告警评分策略确定告警数据的置信度分数;获取告警数据中置信度分数低于第一阈值的第一告警数据,利用第一告警数据构建告警内存图,利用告警关联策略将第一告警数据挂载至告警内存图中对应的告警关联子图中;其中,告警关联策略用于将具有共享关系的告警数据进行聚合;获取第一告警数据中置信度分数低于第二阈值的第二告警数据,根据第二告警数
据的告警类型数量以及行为数据确定第二告警数据的虚拟告警值;其中,第二阈值低于第一阈值;获取第二告警数据中虚拟告警值高于第三阈值的第三告警数据,利用第三告警数据更新告警关联子图后,更新告警数据的置信度分数;其中,第三阈值低于第一阈值且高于第二阈值;利用预设的多告警评分策略将置信度分数不低于第一阈值的告警数据确定为告警数据的评分结果。
[0008]在一种实施方式中,接收待评分的告警数据,并利用预设的单告警评分策略确定告警数据的置信度分数的步骤,包括:获取已接收的告警数据,确定告警数据对应的初始置信度分数;判断初始置信度分数是否低于第一阈值;如果是,则利用告警数据的特征数据,获取特征数据对应的特异性评价分数;利用单告警评分策略对特异性评价分数进行提升后,生成告警数据的置信度分数。
[0009]在一种实施方式中,获取告警数据中置信度分数低于第一阈值的第一告警数据,利用第一告警数据构建告警内存图,利用告警关联策略将第一告警数据挂载至告警内存图中对应的告警关联子图中的步骤,包括:将置信度分数低于第一阈值的告警数据确定为第一告警数据;获取第一告警数据中包含的进程数据、文件数据以及网络数据,并根据第一告警数据的进程关系构建告警内存图;利用告警关联策略将告警内存图中具有共享关系的告警数据进行聚合分组后,将同一分组中图的顶点和边确定为关联子图,并将第一告警数据挂载至告警关联子图。
[0010]在一种实施方式中,将第一告警数据挂载至告警关联子图,包括:设置关联标记,并将第一告警数据挂载至告警内存图的起始顶点;在告警内存图中遍历与起始顶点相邻的邻居顶点,并将起始顶点以及邻居顶点加入至告警关联子图中。
[0011]在一种实施方式中,获取第一告警数据中置信度分数低于第二阈值的第二告警数据,根据第二告警数据的告警类型数量以及行为数据确定第二告警数据的虚拟告警值的步骤,包括:将置信度分数低于第二阈值的第一告警数据确定为第二告警数据;根据第二告警数据的置信度结果及对应的数量确定第二告警数据的告警类型数量,并利用告警类型数量确定第二告警数据对应的第一虚拟告警值;根据第二告警数据中包含的异常进程数量确定行为数据,并利用行为数据的数量确定第二告警数据对应的第二虚拟告警值;将第一虚拟告警值以及第二虚拟告警值确定为第二告警数据对应的虚拟告警值。
[0012]在一种实施方式中,获取第二告警数据中虚拟告警值高于第三阈值的第三告警数据,利用第三告警数据更新告警关联子图后,更新告警数据的置信度分数的步骤,包括:将虚拟告警值高于第三阈值的第二告警数据确定为第三告警数据;根据第三告警数据的置信度结果及对应数量确定第三告警数据的告警类型数量,
并利用告警类型数量确定更新策略;利用更新策略对告警关联子图进行更新,并重新生成告警数据的置信度分数。
[0013]在一种实施方式中,利用告警类型数量确定更新策略,包括:将告警数据中置信度分数不低于第一阈值的数量确定为第一告警数量;将第一告警数据中置信度分数不低于第二阈值的数量确定为第二告警数量;将第三告警数据的告警类型数量确定为第三告警数量;利用第一告警数量、第二告警数量以及第三告警数量确定更新策略。
[0014]在一种实施方式中,利用预设的多告警评分策略将置信度分数不低于第一阈值的告警数据确定为告警数据的评分结果的步骤,包括:获取告警数据的置信度分数;利用多告警评分策略对置信度分数进行提升后,更新告警数据的置信度分数;判断当前告警数据的置信度分数是否不低于第一阈值;如果是,则将告警数据确定为告警数据的评分结果。
[0015]第二方面,本专利技术实施方式提供一种告警数据的评分系统,该系统包括:第一评分模块,用于接收待评分的告警数据,并利用预设的单告警评分策略确定告警数据的置信度分数;第二评分模块,用于获取告警数据中置信度分数低于第一阈值的第一告警数据,利用第一告警数据构建告警内存图,利用告警关联策略将第一告警数据挂载至告警内存图中对应的告警关联子图中;其中,告警关联策略用于将具有共享关系的告警数据进行聚合;第三评分模块,用于获取第一告警数据中置信度分数低于第二阈值的第二告警数据,根据第二告警数据的告警类型数量以及行为数据确定第二告警数据的虚拟告警值;其中,第二阈值低于第一阈值;第四评分模块,用于获取第二告警数据中虚拟告警值高于第三阈值的第三告警数据,利用第三告警数据更新告警关联子图后,更新告警数据的置信度分数;其中,第三阈值低于第一阈值且高于第二阈值;第五评本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种告警数据的评分方法,其特征在于,所述方法包括:接收待评分的告警数据,并利用预设的单告警评分策略确定所述告警数据的置信度分数;获取所述告警数据中所述置信度分数低于第一阈值的第一告警数据,利用所述第一告警数据构建告警内存图,利用告警关联策略将所述第一告警数据挂载至所述告警内存图中对应的告警关联子图中;其中,所述告警关联策略用于将具有共享关系的所述告警数据进行聚合;获取所述第一告警数据中所述置信度分数低于第二阈值的第二告警数据,根据所述第二告警数据的告警类型数量以及行为数据确定所述第二告警数据的虚拟告警值;其中,所述第二阈值低于所述第一阈值;获取所述第二告警数据中所述虚拟告警值高于第三阈值的第三告警数据,利用所述第三告警数据更新所述告警关联子图后,更新所述告警数据的置信度分数;其中,所述第三阈值低于所述第一阈值且高于所述第二阈值;利用预设的多告警评分策略将所述置信度分数不低于所述第一阈值的所述告警数据确定为所述告警数据的评分结果。2.根据权利要求1所述的告警数据的评分方法,其特征在于,所述接收待评分的告警数据,并利用预设的单告警评分策略确定所述告警数据的置信度分数的步骤,包括:获取已接收的所述告警数据,确定所述告警数据对应的初始置信度分数;判断所述初始置信度分数是否低于所述第一阈值;如果是,则利用所述告警数据的特征数据,获取所述特征数据对应的特异性评价分数;利用所述单告警评分策略对所述特异性评价分数进行提升后,生成所述告警数据的所述置信度分数。3.根据权利要求1所述的告警数据的评分方法,其特征在于,所述获取所述告警数据中所述置信度分数低于第一阈值的第一告警数据,利用所述第一告警数据构建告警内存图,利用告警关联策略将所述第一告警数据挂载至所述告警内存图中对应的告警关联子图中的步骤,包括:将所述置信度分数低于第一阈值的所述告警数据确定为所述第一告警数据;获取所述第一告警数据中包含的进程数据、文件数据以及网络数据,并根据所述第一告警数据的进程关系构建所述告警内存图;利用告警关联策略将所述告警内存图中具有共享关系的所述告警数据进行聚合分组后,将同一分组中图的顶点和边确定为所述关联子图,并将所述第一告警数据挂载至所述告警关联子图。4.根据权利要求3所述的告警数据的评分方法,其特征在于,将所述第一告警数据挂载至所述告警关联子图,包括:设置关联标记,并将所述第一告警数据挂载至所述告警内存图的起始顶点;在所述告警内存图中遍历与所述起始顶点相邻的邻居顶点,并将所述起始顶点以及所述邻居顶点加入至所述告警关联子图中。5.根据权利要求1所述的告警数据的评分方法,其特征在于,所述获取所述第一告警数据中所述置信度分数低于第二阈值的第二告警数据,根据所述第二告警数据的告警类型数
量以及行为数据确定所述第二告警数据的虚拟告警值的步骤,包括:将所述置信度分数低于第二阈值的所述第一告警数据确定为所述第二告警数据;根据所述第二告警数据的置信度结果及对应的数量确定所述第二告警数据的所述告警类型数量,并利用所述告警类型数量确定所述第二告警数据对应的第一虚拟告警值;根据所述第二告警数据...
【专利技术属性】
技术研发人员:朱震,文洲,朱金涛,
申请(专利权)人:北京升鑫网络科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。