【技术实现步骤摘要】
本申请涉及网络安全,尤其涉及自动化判定网络安全警报威胁等级的方法和装置。
技术介绍
1、近年来,网络空间的攻击越来越频繁,在主机端和网络端都出现了大量的攻击事件。为了应对日渐复杂的网络攻击,大型组织单位(诸如学校、政府、企业等)的网络中逐渐部署了越来越多的安全检测设备以防范网络攻击。例如图1所示的例子,企业网络通常会在网络端部署防火墙、网络入侵检测系统、web防火墙等用于监控网络通信状态,在主机端部署主机入侵防御检测系统、终端安全防护系统等等以监测计算机内的异常活动。
2、但庞大的网络规模导致部属的安全设备每天都会产生巨量的安全警报,且大型组织中的安全运维人数远低于所需的标准。以某校园网络为例,每日产生的安全警报量上千,但专门负责安全事件处理的运维人员仅两人。并且,每个警报需要经历如图1右边流程图所示的多个步骤处理过程,但通常这其中仅有1%是严重的警报。这使得运维负担极为沉重,无法对所有警报进行一一处理,最终甚至会遗漏掉重要的威胁信息。该现象被称为“告警疲劳”。
3、因此,针对大型组织网络中的告警疲劳问题,急需一...
【技术保护点】
1.一种自动化判定网络安全警报威胁等级的方法,其特征在于,包括以下步骤:
2.如权利要求1所述的方法,其特征在于,所述告警子图分为主机级告警子图和网络级告警子图,所述主机级告警子图对应主机级安全检测设备生成的警报,所述网络级告警子图对应网络级安全检测设备生成的警报,所述对所述多源安全警报数据中的每个警报构建对应的告警子图,包括:
3.如权利要求2所述的方法,其特征在于,所述基于所有告警子图构建告警知识图,包括:
4.如权利要求1所述的方法,其特征在于,所述基于所述告警知识图,使用基于图属性的子图学习方法对每个告警子图生成对应的告警子
【技术特征摘要】
1.一种自动化判定网络安全警报威胁等级的方法,其特征在于,包括以下步骤:
2.如权利要求1所述的方法,其特征在于,所述告警子图分为主机级告警子图和网络级告警子图,所述主机级告警子图对应主机级安全检测设备生成的警报,所述网络级告警子图对应网络级安全检测设备生成的警报,所述对所述多源安全警报数据中的每个警报构建对应的告警子图,包括:
3.如权利要求2所述的方法,其特征在于,所述基于所有告警子图构建告警知识图,包括:
4.如权利要求1所述的方法,其特征在于,所述基于所述告警知识图,使用基于图属性的子图学习方法对每个告警子图生成对应的告警子图向量,包括:
5.如权利要求4...
【专利技术属性】
技术研发人员:杨家海,吴松云,董恩焕,王之梁,张辉,胡海娜,李子木,
申请(专利权)人:清华大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。