【技术实现步骤摘要】
本专利技术涉及网络安全领域,尤其涉及一种基于ai算法的安全事件自适应流转方法及系统。
技术介绍
1、本部分的陈述仅仅是提供了与本专利技术相关的
技术介绍
信息,不必然构成在先技术。
2、在网络安全领域中,对于安全事件响应的流程设置,行业内一般采用的办法是按既定的处置策略进行流程化处理,主要有以下三种方法:单一化流程,策略库流程,自定义剧本流程soar产品。主要有以下几个问题被业内忽略:
3、安全策略的设置敏感度过高,则流转到人工处置的量级就会随之变高,响应不及时则会导致错过最佳处置时间,导致被入侵实施破坏。
4、安全策略设置敏感度过低,直接被忽略或送入阻断设备自动封堵,如果是误报事件被封堵,则会影响上网体验或业务中断;如果是真实攻击被定成误报被忽略,则会带来入侵而不知情的严重后果。
5、用户现场安全策略的制定和配置都过于专业和复杂,比如编写剧本这类工作,用户往往难以驾驭。
技术实现思路
1、为了解决上述
技术介绍
中存在的技术问题,本专利技术提供一种基于ai算法的安全事件自适应流转方法及系统,本专利技术提高了安全事件在响应流程的质量和效率。
2、为了实现上述目的,本专利技术采用如下技术方案:
3、本专利技术的第一个方面提供一种基于ai算法的安全事件自适应流转方法。
4、一种基于ai算法的安全事件自适应流转方法,包括:
5、获取安全事件,并提取安全事件的相关影响因子;
6、获取当前在线
7、基于安全事件的相关影响因子、当前在线处置主体以及处置主体的相关影响因子,采用ai选择器,得到一个或多个处置对象,作为安全事件的投放目标,由处置主体完成相应工作,输出处置主体的结果。
8、进一步地,所述安全事件的相关影响因子包括但不限于:产品对象类型、部署的网络位置、所防御的主体、历史误报率、准确率、出现时间、威胁等级和产出量级;其中,所述所防御的主体包括服务器、终端和网络设备,所述出现时间包括工作时间、非工作时间以及白日/夜间。
9、进一步地,所述处置主体包括人和工具型设备。
10、进一步地,当处置主体是人时,所述处置主体的相关影响因子包括但不限于:边界因素、流量因素、终端因素和业务系统因素。
11、进一步地,当处置主体是工具型设备时,所述处置主体的相关影响因子包括但不限于:边界型设备、流量型设备和主机型设备。
12、进一步地,在得到所述处置主体的结果后,需对处置主体的结果进行评价,得到评价结果,评价的方法包括但不限于:威胁事件是否出现,口令猜解,弱点扫描,持续探测,sql注入,漏洞扫描重测是否已经修补,处置工作接收时间,处置时间,重测次数,处置结果的准确率。
13、进一步地,在得到评价结果之后,还包括:
14、将评价结果转换为评价因子;
15、将评价因子与处置主体的进行差异性对比,得到处置主体的影响因子;
16、基于处置主体的影响因子,训练ai选择器,更新ai选择器的参数,以此得到最优的ai选择器。
17、本专利技术的第二个方面提供一种基于ai算法的安全事件自适应流转系统。
18、一种基于ai算法的安全事件自适应流转系统,包括:
19、第一获取模块,其被配置为:获取安全事件,并提取安全事件的相关影响因子;
20、第二获取模块,其被配置为:获取当前在线处置主体,并提取处置主体的相关影响因子;
21、流转选择模块,其被配置为:基于安全事件的相关影响因子、当前在线处置主体以及处置主体的相关影响因子,采用ai选择器,得到一个或多个处置对象,作为安全事件的投放目标,由处置主体完成相应工作,输出处置主体的结果。
22、本专利技术的第三个方面提供一种计算机可读存储介质。
23、一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一个方面所述的基于ai算法的安全事件自适应流转方法中的步骤。
24、本专利技术的第四个方面提供一种计算机设备。
25、一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述第一个方面所述的基于ai算法的安全事件自适应流转方法中的步骤。
26、与现有技术相比,本专利技术的有益效果是:
27、本专利技术与事件分类和事件管理技术不同,采用的动态自适应响应技术更强调安全事件在响应流程的质量和效率,并应用ai技术进行现场训练,以适配现场的人员、工具、以及安全设施等多方面的能力,得到最优的事件响应流程。
28、依据现场条件,动态的流程计算方法可以使得高优先级的事件最快速地得到处置。
29、基于ai反馈得到的人员能力/素质的表现,流程的优化可以使现场人员综合成本得到改善。
30、持续反馈和训练的ai算法,可以应对现场条件频繁的变更,尤其在流程处置方面可以快速地计算得出最优流程。
本文档来自技高网...【技术保护点】
1.一种基于AI算法的安全事件自适应流转方法,其特征在于,包括:
2.根据权利要求1所述的基于AI算法的安全事件自适应流转方法,其特征在于,所述安全事件的相关影响因子包括但不限于:产品对象类型、部署的网络位置、所防御的主体、历史误报率、准确率、出现时间、威胁等级和产出量级;其中,所述所防御的主体包括服务器、终端和网络设备,所述出现时间包括工作时间、非工作时间以及白日/夜间。
3.根据权利要求1所述的基于AI算法的安全事件自适应流转方法,其特征在于,所述处置主体包括人和工具型设备。
4.根据权利要求3所述的基于AI算法的安全事件自适应流转方法,其特征在于,当处置主体是人时,所述处置主体的相关影响因子包括但不限于:边界因素、流量因素、终端因素和业务系统因素。
5.根据权利要求3所述的基于AI算法的安全事件自适应流转方法,其特征在于,当处置主体是工具型设备时,所述处置主体的相关影响因子包括但不限于:边界型设备、流量型设备和主机型设备。
6.根据权利要求1所述的基于AI算法的安全事件自适应流转方法,其特征在于,在得到所述处置主体
7.根据权利要求6所述的基于AI算法的安全事件自适应流转方法,其特征在于,在得到评价结果之后,还包括:
8.一种基于AI算法的安全事件自适应流转系统,其特征在于,包括:
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-7中任一项所述的基于AI算法的安全事件自适应流转方法中的步骤。
10.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1-7中任一项所述的基于AI算法的安全事件自适应流转方法中的步骤。
...【技术特征摘要】
1.一种基于ai算法的安全事件自适应流转方法,其特征在于,包括:
2.根据权利要求1所述的基于ai算法的安全事件自适应流转方法,其特征在于,所述安全事件的相关影响因子包括但不限于:产品对象类型、部署的网络位置、所防御的主体、历史误报率、准确率、出现时间、威胁等级和产出量级;其中,所述所防御的主体包括服务器、终端和网络设备,所述出现时间包括工作时间、非工作时间以及白日/夜间。
3.根据权利要求1所述的基于ai算法的安全事件自适应流转方法,其特征在于,所述处置主体包括人和工具型设备。
4.根据权利要求3所述的基于ai算法的安全事件自适应流转方法,其特征在于,当处置主体是人时,所述处置主体的相关影响因子包括但不限于:边界因素、流量因素、终端因素和业务系统因素。
5.根据权利要求3所述的基于ai算法的安全事件自适应流转方法,其特征在于,当处置主体是工具型设备时,所述处置主体的相关影响因子包括但不限于:边界型设备、流量型设备和主机型设备。
【专利技术属性】
技术研发人员:任强,马晓红,宁伟,张建成,王明玺,王维,李鹏宇,朱瑞新,胡欣悦,朱洪江,李哲,纪鲁鹏,陈壮壮,吴晓臣,
申请(专利权)人:山东正中信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。