安全告警智能排查方法、網絡設備及存儲介質與流程
1.本技術涉及通訊設備技術領域,尤其涉及安全告警智能排查方法、網絡設備及存儲介質。
背景技術:
2.隨著互聯網行業的快速發展和應用創新的突飛猛進,網絡流量的類型多樣化、演變形和復雜性都隨著新型網絡應用及網絡協議的不斷涌現而日益增長,同時網絡運營服務商和網絡監管部門對了解網絡流量構成、實施網絡差異化服務,以及凈化網絡環境等訴求也愈強烈。其中,安全管理平臺的安全告警是安全管理平臺分析的基礎,大多設備基于規則,閾值設定等進行上報告警日志,導致每天上報成千上萬安全告警日志,一定程度給安全管理員排查、處置帶來巨大的工作壓力。
3.基于機器學習的攻擊判定分類方法,需要大量帶有真實標簽的樣本來訓練分類器,但是獲取大量真實標簽需要耗費大量人力物力。因此針對實際信息安全應用場景下,基于安全管理平臺上報的大量安全事件進行標記存在著工作量大,無法完成的問題。這里所進行的標記式這些安全事件是否是告警事件。例如是告警事件,則標記1,不是告警事件標記0。
技術實現要素:
4.為了克服相關技術中存在的問題,本技術提供了安全告警智能排查方法、網絡設備及存儲介質。
5.根據本技術實施例第一方面安全告警智能排查方法,包括:
6.獲取安全事件數據;
7.抽取k數量個安全事件并標記告警事件;
8.利用分類模型對所標記的k個安全事件進行分類訓練;
9.獲取每個安全事件為告警事件的概率;
10.根據獲取的k個安全事件每個事件發生告警的概率計算新的k值;
11.通過計算得到的新的k值對原k值進行迭代處理;
12.計算安全事件的錯報漏報率;
13.當錯報漏報率小于預設值,則分類模型收斂;
14.當錯報漏報率大于等于預設值,通過迭代k值繼續訓練分類模型。
15.優選的,抽取k數量個安全事件,包括:
16.當判斷為迭代初始,采用無監督算法對安全事件進行排序;
17.獲取排序靠前的k數量個安全事件,并標記是否是告警事件;
18.當判斷不是迭代初始,獲取迭代后的k數量個安全事件;
19.利用迭代后的k數量個安全事件進行分類模型預測,獲取每個安全事件的預測概率;
20.利用迭代后的k數量個安全事件進行基于無監督算法計算并進行排序;
21.基于安全事件的預測概率進行預測概率排序和預測概率的熵值計算與熵值排序;
22.抽取迭代后的所述無監督算法排序后的前k/3的安全事件;
23.抽取預測概率排序后概率大的前k/3的安全事件;
24.抽取熵值排序靠前的k/3的安全事件;
25.將迭代后的所述無監督算法排序后的前k/3的安全事件,預測概率排序后概率大的前k/3的安全事件和熵值排序靠前的k/3的安全事件組合成k數量個安全事件。
26.進一步地,無監督算法排序可以基于特征異常檢測算法或使用圖排序算法。
27.進一步地,圖排序算法的公式:
[0028][0029][0030]
其中,a表示權重值,h表示節點,基于h結果進行排序。
[0031]
進一步地,特征異常檢測算法基于標記得分異常的事件進行排序。
[0032]
優選的,通過計算獲取新的k值,包括:
[0033]
基于預測概率中基于標記為是告警事件和不是告警事件的概率計算對應的熵值;
[0034]
對所述k個安全事件的熵值進行排序;
[0035]
預設安全事件發生概率在0.5的有m個,則k/3+k6≈m;
[0036]
計算得到k≈2m。
[0037]
進一步地,基于預測概率中基于標記為是告警事件和不是告警事件的概率計算對應的熵值公式:
[0038][0039]
其中,p(xi)表示告警事件發生的概率,n=1,2。
[0040]
優選的,計算安全事件的錯報漏報率,包括:
[0041]
獲取一批新的安全事件數據;
[0042]
將新一批的安全事件以k值迭代的方式輸入分類模型預測告警事件;
[0043]
將新一批的安全事件通過標記告警事件;
[0044]
將預測得到的告警事件與標記的告警事件進行比較,計算預測得到告警事件的漏報錯報率。
[0045]
本技術實施例第二方面提供了網絡設備,包括存儲器、處理器及存儲在存儲器上并可在處理器上運行的計算機程序,處理器執行程序時執行上述安全告警智能排查方法。
[0046]
本技術實施例第三方面提供理論存儲介質,其上存儲有計算機程序指令,程序指令被處理器執行時用于實現上述安全告警智能排查方法。
[0047]
本技術實施例提供的技術方案可以包括以下有益效果:
[0048]
本技術實施例中工作人員只需對抽檢的k數量個安全事件數據進行標記,大大減
少了工作人員的工作量。
[0049]
應當理解的是,以上的一般描述和后文的細節描述僅是示例性和解釋性的,并不能限制本技術。
附圖說明
[0050]
此處的附圖被并入申請中并構成本技術的一部分,示出了符合本技術的實施例,并與申請一起用于解釋本技術的原理。
[0051]
圖1是本技術實施例流程示意圖;
[0052]
圖2是本技術中k數量個安全事件的獲取方法示意圖;
[0053]
圖3是本技術圖排序算法示意圖;
[0054]
圖4是本技術計算獲取新的k值的方式示意圖;
[0055]
圖5是本技術計算安全事件的錯報漏報率示意圖。
具體實施方式
[0056]
這里將詳細地對示例性實施例進行說明,其示例表示在附圖中。下面的描述涉及附圖時,除非另有表示,不同附圖中的相同數字表示相同或相似的要素。以下示例性實施例中所描述的實施方式并不代表與本技術相一致的所有實施方式。相反,它們僅是與如所附權利要求書中所詳述的、本技術的一些方面相一致的裝置和方法的例子。
[0057]
為解決背景技術存在的問題,本技術實施例提供了安全告警智能排查方法,如圖1所示,包括:
[0058]
獲取安全事件數據;
[0059]
抽取k數量個安全事件并標記告警事件;
[0060]
利用分類模型對所標記的k個安全事件進行分類訓練;
[0061]
獲取每個安全事件為告警事件的概率;
[0062]
根據獲取的k個安全事件每個事件發生告警的概率計算新的k值;
[0063]
通過計算得到的新的k值對原k值進行迭代處理;
[0064]
計算安全事件的錯報漏報率;
[0065]
當錯報漏報率小于預設值,則分類模型收斂;
[0066]
當錯報漏報率大于等于預設值,需要通過迭代k值繼續訓練分類模型。
[0067]
本技術實施例因為每次只抽取k數量個安全事件通過模型進行預測和安全事件標記,因此工作人員需要手工操作標記的安全事件數量大大降低。而由于k值是一個動態調整的數據,因此分類模型預測根據調整的k值進行預測,預測數據更為精準,能夠做到快速收斂。
[0068]
在本實施例中需要說明抽取k數量個安全事件是如何得到的,具體來說包括以下兩種情況,如圖2所示:
[0069]
情況一:當判斷為迭代初始,因為此時沒有已算好的迭代的新的k值,因此采用無監督算法對安全事件進行排序;獲取排序靠前的k數量個安全事件,并標記是否是告警事件。
[0070]
情況二:當判斷不是迭代初始,獲取迭代后的k數量個安全事件;(1)利用迭代后的
k數量個安全事件進行分類模型預測,獲取每個安全事件的預測概率;(2)利用迭代后的k數量個安全事件進行基于無監督算法計算并進行排序;(3)基于安全事件的預測概率進行預測概率排序和預測概率的熵值計算與熵值排序。抽取迭代后的無監督算法排序后的前k/3的安全事件;抽取預測概率排序后概率大的前k/3的安全事件;抽取熵值排序靠前的k/3的安全事件;將迭代后的所述無監督算法排序后的前k/3的安全事件,預測概率排序后概率大的前k/3的安全事件和熵值排序靠前的k/3的安全事件組合成k數量個安全事件。這里需要說明的是排序靠前指的是告警事件概率發生大的事件。
[0071]
這里的無監督算法可以是基于特征異常檢測算法獲取的,也可以是使用圖排序算法獲取的。
[0072]
圖排序算法具體來說是通過下述公式實現,其中,a表示權重值,h表示節點,基于h結果進行排序。如圖所示3,a(1)=h(2)+h(3)+h(4),h(1)=a(5)+a(6)+a(7)。每個節點都會有兩個屬性值,a值和h值,從物理意義上理解:當一個主機發起多個攻擊事件時,表示該主機大概率已經失陷(中毒),則在圖中表現為一個節點指向多個節點,這里基于每個節點的h值排序作為最后的排序結果。
[0073]
特征異常檢測算法是基于標記得分異常的事件進行排序。
[0074]
本技術實施例中計算獲取新的k值,如圖4所示,包括:
[0075]
基于預測概率中基于標記為是告警事件和不是告警事件的概率計算對應的熵值;
[0076]
對k個安全事件的熵值進行排序;
[0077]
預設安全事件發生概率在0.5的有m個,這是因為通過實驗發現,不確定安全事件的熵值在事件預測概率為0.5附近,這也符合其實際物理特性,則k/3+k6≈m;因此計算得到k≈2m。利用熵值排序預測,主要利用熵值的穩定性特性。
[0078]
基于預測概率中基于標記為是告警事件和不是告警事件的概率計算對應的熵值公式:
[0079][0080]
其中,p(xi)表示告警事件發生的概率,n=1,2。是基于預測概率中標記類別0和類別1的概率計算對應的熵值。本技術實施例中可以以標記0為非告警事件或正常事件,標記1為告警事件。當然也可以反過來設置。
[0081]
本技術實施例中的計算安全事件的錯報漏報率,如圖5所示,包括:
[0082]
獲取一批新的安全事件數據;
[0083]
將新一批的安全事件以k值迭代的方式輸入分類模型預測告警事件;
[0084]
將新一批的安全事件進行告警事件標記;
[0085]
將預測得到的告警事件與標記的告警事件進行比較,計算預測得到告警事件的漏報錯報率。
[0086]
本技術實施例第二方面還提供了網絡設備,包括存儲器、處理器及存儲在存儲器上并可在處理器上運行的計算機程序,處理器執行程序時執行上述安全告警智能排查方
法。
[0087]
本技術實施例第三方面提供了存儲介質,其上存儲有計算機程序指令,程序指令被處理器執行時用于實現上述安全告警智能排查方法。
[0088]
應當理解的是,本技術并不局限于上面已經描述并在附圖中示出的精確結構,并且可以在不脫離其范圍進行各種修改和改變。本技術的范圍僅由所附的權利要求來限制。
[0089]
以上僅為本技術的較佳實施例而已,并不用以限制本技術,凡在本技術的精神和原則之內,所做的任何修改、等同替換、改進等,均應包含在本技術保護的范圍之內。
技術特征:
1.安全告警智能排查方法,其特征在于,包括:獲取安全事件數據;抽取k數量個安全事件并標記告警事件;利用分類模型對所標記的k個安全事件進行分類訓練;獲取每個安全事件為告警事件的概率;根據獲取的k個安全事件每個事件發生告警的概率計算新的k值;通過計算得到的新的k值對原k值進行迭代處理;計算安全事件的錯報漏報率;當錯報漏報率小于預設值,則分類模型收斂;當錯報漏報率大于等于預設值,通過迭代k值繼續訓練分類模型。2.根據權利要求1所述的安全告警智能排查方法,其特征在于,抽取k數量個安全事件,包括:當判斷為迭代初始,采用無監督算法對安全事件進行排序;獲取排序靠前的k數量個安全事件,并標記是否是告警事件;當判斷不是迭代初始,獲取迭代后的k數量個安全事件;利用迭代后的k數量個安全事件進行分類模型預測,獲取每個安全事件的預測概率;利用迭代后的k數量個安全事件進行基于無監督算法計算并進行排序;基于安全事件的預測概率進行預測概率排序和預測概率的熵值計算與熵值排序;抽取迭代后的所述無監督算法排序后的前k/3的安全事件;抽取預測概率排序后概率大的前k/3的安全事件;抽取熵值排序靠前的k/3的安全事件;將迭代后的所述無監督算法排序后的前k/3的安全事件,預測概率排序后概率大的前k/3的安全事件和熵值排序靠前的k/3的安全事件組合成k數量個安全事件。3.根據權利要求2所述的安全告警智能排查方法,其特征在于,所述無監督算法排序可以基于特征異常檢測算法或使用圖排序算法。4.根據權利要求3所述的安全告警智能排查方法,其特征在于,所述圖排序算法的公式:式:其中,a表示權重值,g表示節點,基于h結果進行排序。5.根據權利要求3所述的安全告警智能排查方法,其特征在于,所述特征異常檢測算法基于標記得分異常的事件進行排序。6.根據權利要求1所述的安全告警智能排查方法,其特征在于,通過計算獲取新的k值,包括:基于預測概率中基于標記為是告警事件和不是告警事件的概率計算對應的熵值;
對所述k個安全事件的熵值進行排序;預設安全事件發生概率在0.5的有m個,則k/3+k6≈m;計算得到k≈2m。7.根據權利要求6所述的安全告警智能排查方法,其特征在于,基于預測概率中基于標記為是告警事件和不是告警事件的概率計算對應的熵值公式:其中,p(x
i
)表示告警事件發生的概率,n=1,2。8.根據權利要求1所述的安全告警智能排查方法,其特征在于,所述的計算安全事件的錯報漏報率,包括:獲取一批新的安全事件數據;將新一批的安全事件以k值迭代的方式輸入分類模型預測告警事件;將新一批的安全事件通過標記告警事件;將預測得到的告警事件與標記的告警事件進行比較,計算預測得到告警事件的漏報錯報率。9.網絡設備,包括存儲器、處理器及存儲在存儲器上并可在處理器上運行的計算機程序,其特征在于,處理器執行程序時執行包括權利要求1-8任意一項所述的安全告警智能排查方法。10.存儲介質,其上存儲有計算機程序指令,其特征在于,程序指令被處理器執行時用于實現權利要求1-8任一項所述的安全告警智能排查方法。
技術總結
本申請提供了安全告警智能排查方法、網絡設備及儲介質,其中,方法包括獲取安全事件數據;抽取K數量個安全事件并標記告警事件;利用分類模型對所標記的K個安全事件進行分類訓練;獲取每個安全事件為告警事件的概率;根據獲取的K個安全事件每個事件發生告警的概率計算新的K值;通過計算得到的新的K值對原K值進行迭代處理;計算安全事件的錯報漏報率;當錯報漏報率小于預設值,則分類模型收斂;當錯報漏報率大于等于預設值,通過迭代K值繼續訓練分類模型。本申請實施例工作人員只需對抽檢的K數量個安全事件數據進行標記,大大減少了工作人員的工作量。作人員的工作量。作人員的工作量。
