【技术实现步骤摘要】
本申请涉及计算机网络安全,具体涉及一种基于智能标签的安全日志告警方法、介质和设备。
技术介绍
1、深度学习是一种数据驱动的算法,其无需建立系统的准确物理模型,只需收集系统运行的历史数据即可获得系统的最优特征表示,从而完成问题风险诊断预测、问题风险分类溯源、问题风险告警响应等任务。通过机器学习mini-batch sgd(随机梯度下降)算法、自然语言处理等多个领域的探索研究和不断改进和优化的形成的数据智能标签的技术方案,可以大幅度提高安全日志多源多维数据的采集、解析、融合与深度挖掘分析的效率和准确性,增强网络安全响应处置的数字化能力与创新应用。
2、安全威胁是网络安全领域关注的重点,针对当下各种错综复杂及多样的网络威胁,安全管理部门会采用多种网络威胁检测系统设备,这些安全威胁检测系统设备会产生大量的安全告警,这些大量的告警需要安全管理人员进行人工审核确认,从中找到真实有效的威胁告警,导致这样的状况的原因一方面是因为威胁检测系统设备存在错误告警甚至遗漏告警的情况,因此需要人工者审核确认,不同审核人员的专业性和工作经验对审核确认存在较大的差异性;另一方面因为在告警信息中可能存在信息价值低的告警,例如可疑扫描等威胁,因此在人工审核告警的过程中可能会面临大量价值低的告警。
3、因此,当前安全管理在面对海量的告警时,为了能够快速的找到有效的安全威胁,达到有效的安全告警,解决办法是对告警威胁等级进行分级,这样安全管理人员可以优先处理高级别的告警威胁,然后再处理低级别的告警威胁,这样以便在有限的时间内更快的找到有效的安全
4、公开号为cn110958136a的中国专利技术专利公开了一种基于深度学习的日志分析预警方法,包括以下步骤:对获取的目标系统内的不同类型的日志进行预处理;对预处理后的日志使用基于聚类的方法进行日志解析;将解析后日志事件编码成数字特征向量;使用基于lstm的神经网络和基于logcollect的聚类方法对编码后的日志进行学习,形成预警信息;对预警信息溯源至负载对应组件服务器,判断故障点。实现对应用系统可能出现的故障进行预警,定位,提供相应的解决方案,进而提前解除系统风险,提高系统的安全状况。
5、公开号为cn110347547a的中国专利技术专利公开了一种基于深度学习的日志异常检测方法,利用历史日志文件进行深度学习,得到日志文件检测模型;在预设时间窗口内,接收待检测的日志文件;对待检测的日志文件进行预处理得到日志文件测试样本;对日志文件测试样本进行聚类分析,得到多类日志文件及每类日志文件对应的日志关键字序列;将日志关键字序列输入至日志文件检测模型进行异常检测;若存在异常时,发送预设告警提示至预设应用负责人。
6、然而,由于安全日志数据量庞大,中间混入了很多噪声数据,因而上述两种方案在针对日志进行处理解析时,往往存在处理时间长、输出预警结论的精度不高等问题。
技术实现思路
1、鉴于上述问题,本申请提供了一种基于智能标签的安全日志告警的技术方案,以解决现有的安全日志预警方法存在着计算量大、计算结果不准确等技术问题。
2、为实现上述目的,在第一方面,本申请提供了一种基于智能标签的安全日志告警方法,所述方法包括:
3、采集安全日志数据,并对所述安全日志数据进行预处理,提取所述安全日志数据中的关键特征信息,所述关键特征信息包括时间戳信息;
4、利用训练完成的神经网络模型对所述关键特征信息进行分析,生成智能标签,所述智能标签用于表征安全事件类型或攻击类型;
5、将安全日志数据根据智能标签进行聚类分析,根据聚类分析结果将相似的安全事件类型或攻击类型归为一类,得到多个类别的智能标签;
6、根据智能标签的类别为每一类智能标签计算一得分阈值,当计算得分阈值大于对应的第一预设阈值时,发出告警提示;
7、所述得分阈值根据以下方式进行计算:按照智能标签中的时间戳顺序对同一类别的多个智能标签进行排列,并以同一类别的若干智能标签为一组依次计算各智能标签组对应的组得分,剔除掉组得分低于第二预设阈值的智能标签组,根据剩下的智能标签组的组得分和相应的组权重值计算当前类别的智能标签对应的得分阈值,所述组权重值根据该组内智能标签对应的时间戳信息进行确定。
8、进一步的,所述神经网络模型根据以下方式进行训练:
9、获取训练集,从训练集中随机选择一部分样本数据作为每次迭代的输入数据;
10、将选定的部分批量数据传递给标签分类器,并计算神经网络模型的输出数据;
11、根据所述神经网络模型的输出数据和实际标签之间的差距计算损失函数;
12、根据所述损失函数的梯度,对标签分类器中的训练参数进行调整;
13、重复上述步骤,直到所述训练集被完整遍历,完成训练。
14、进一步的,所述安全日志数据包括文本数据,所述对所述安全日志数据进行预处理,提取所述安全日志数据中的关键特征信息包括:
15、将所述文本数据转换为神经网络模型能够处理的数值格式,并对所述文本数据进行词汇划分后转换为词嵌入向量;
16、根据所述词嵌入向量生成输入序列,并对所述输入序列进行位置编码;
17、采用注意力机制对所述输入序列的不同位置编码部分独立计算注意力分数,并对计算得到的注意力分数进行加权平均,得到所述注意力机制的最终输出结果;
18、将所述注意力机制的输出结果、前馈神经网络的输出结果与原始的输入数据相加,并进行层归一化处理,得到所述安全日志数据中的关键特征信息。
19、进一步的,所述方法包括:
20、为每一类智能标签设定对应的告警规则以及对应的处理策略;
21、所述发出告警提示包括:根据当前类别的智能标签对应的告警规则发出告警提示,以及采用对应的处理策略进行处理。
22、进一步的,所述告警提示包括告警标识、告警时间、告警类型、告警级别、与告警相关的安全日志数据片段、建议处理策略、附加信息中的任一项或多项。
23、进一步的,对所述安全日志数据进行预处理包括:
24、对所述安全日志数据进行数据清洗,移除所述安全日志数据中不符合预设规范的部分数据;以及将所述安全日志数据中的非结构化数据转化为结构化数据;
25、对所述安全日志数据中的数值型数据进行归一化处理,确保各数值型数据在相同的数值范围内,对于所述安全日志数据中的类别型数据进行编码转换,以使其转换为所述神经网络模型能够处理的格式。进一步的,所述按照智能标签中的时间戳顺序对同一类别的多个智能标签进行排列包括:
26、选取所述时间戳信息距离当前时刻的时间戳最近的若干个同一类别的智能标签进行排列。
27、进一步的,所述关键特征信息包括静态特征和动态特征,所述静态特征包括设备标识名称、ip地址、设备端口信息中的任一项或多项,所述动态特征包括所述时间戳信息,还包括以及日志本文档来自技高网...
【技术保护点】
1.一种基于智能标签的安全日志告警方法,其特征在于,所述方法包括:
2.如权利要求1所述的基于智能标签的安全日志告警方法,其特征在于,所述神经网络模型根据以下方式进行训练:
3.如权利要求1所述的基于智能标签的安全日志告警方法,其特征在于,所述安全日志数据包括文本数据,所述对所述安全日志数据进行预处理,提取所述安全日志数据中的关键特征信息包括:
4.如权利要求1所述的基于智能标签的安全日志告警方法,其特征在于,所述方法包括:
5.如权利要求1或4所述的基于智能标签的安全日志告警方法,其特征在于,所述告警提示包括告警标识、告警时间、告警类型、告警级别、与告警相关的安全日志数据片段、建议处理策略、附加信息中的任一项或多项。
6.如权利要求1所述的基于智能标签的安全日志告警方法,其特征在于,对所述安全日志数据进行预处理包括:
7.如权利要求1所述的基于智能标签的安全日志告警方法,其特征在于,对所述安全日志数据进行预处理包括:
8.如权利要求1所述的基于智能标签的安全日志告警方法,其特征在于,所述关键特征
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1至8任一项所述的基于智能标签的安全日志告警方法。
10.一种电子设备,其上存储有计算机程序,其特征在于,包括处理器和存储介质,所述存储介质上存储有计算机程序,所述计算机程序被所述处理器执行时实现如权利要求 1至 8 任意一项所述的基于智能标签的安全日志告警方法。
...【技术特征摘要】
1.一种基于智能标签的安全日志告警方法,其特征在于,所述方法包括:
2.如权利要求1所述的基于智能标签的安全日志告警方法,其特征在于,所述神经网络模型根据以下方式进行训练:
3.如权利要求1所述的基于智能标签的安全日志告警方法,其特征在于,所述安全日志数据包括文本数据,所述对所述安全日志数据进行预处理,提取所述安全日志数据中的关键特征信息包括:
4.如权利要求1所述的基于智能标签的安全日志告警方法,其特征在于,所述方法包括:
5.如权利要求1或4所述的基于智能标签的安全日志告警方法,其特征在于,所述告警提示包括告警标识、告警时间、告警类型、告警级别、与告警相关的安全日志数据片段、建议处理策略、附加信息中的任一项或多项。
6.如权利要求1所述的基于智能标签的安全日志告警方法,其特征在于,对所述安全日志数据...
【专利技术属性】
技术研发人员:黄铧焕,丁法景,罗发强,陈忠银,黄志勇,郑建英,施日文,
申请(专利权)人:福建极数网络科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。