一种基于多级智能联动的告警响应方法及系统与流程

本发明涉及计算机，特别是一种基于多级智能联动的告警响应方法及系统。

背景技术：

1、在现有的安全监控系统中，由于网络攻击和风险的复杂性和日益增长的威胁，监控系统会产生大量的原始告警数据和实时告警数据。这些告警数据包含了网络安全事件和异常情况的信息，但由于数量巨大和多样性，传统方法往往难以准确地对这些数据进行分类和分析，导致告警的准确性和处理效率不高。

2、目前已存在一些基于机器学习和人工智能的方法来处理告警数据，如基于深度学习的分类模型和基于规则的告警响应系统。然而，这些方法存在一些局限性。传统的基于深度学习的分类模型在处理多级告警分类中表现不佳，无法有效区分各级别的告警。而基于规则的响应系统则缺乏灵活性和自适应性，无法适应不断变化的网络安全环境。

技术实现思路

1、本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本技术的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊，而这种简化或省略不能用于限制本发明的范围。

2、鉴于现有的告警的准确性和处理效率不高存在的问题，提出了本发明。

3、因此，本发明所要解决的问题在于如何提高告警分类准确性、告警处理效率和自适应性。

4、为解决上述技术问题，本发明提供如下技术方案：

5、第一方面，本发明实施例提供了一种基于多级智能联动的告警响应方法，其包括收集各类安全监控系统和设备生成的原始告警数据和实时告警数据，并进行数据预处理；基于transformer建立并训练多级告警分类预测模型，通过stratified k-fold交叉验证和pbt优化进行模型性能评估和参数调优，并保存最优多级告警分类预测模型；利用最优多级告警分类预测模型对实时告警数据进行实时预测，并输出告警概率p；根据输出结果实施不同级别告警的响应措施，并采用自适应的联动策略，通过将实时告警数据与历史数据进行比对和分析，动态调整告警触发时的联动策略；基于监控和评估结果采用自动化的模型迭代优化方法对多级告警分类预测模型进行迭代优化。

6、作为本发明所述基于多级智能联动的告警响应方法的一种优选方案，其中：基于transformer建立并训练多级告警分类预测模型包括以下步骤：基于transformer构建多级告警分类预测模型；初始化模型参数，将训练集数据输入到模型进行训练，并使用优化算法对模型参数进行更新；利用stratified k-fold交叉验证评估多级告警分类预测模型的性能，并结合pbt优化对模型进行参数调优。

7、作为本发明所述基于多级智能联动的告警响应方法的一种优选方案，其中：通过stratified k-fold交叉验证和pbt优化进行模型性能评估和参数调优包括以下步骤：将原始告警数据分为k个大小相似的折，并将每个折中的不同类别的样本按比例随机分配；对于每个折，使用pbt优化算法初始化一组模型，并为每个模型随机生成初始超参数；在训练集和验证集上对每个模型进行训练和评估，并对表现较好的模型进行超参数微调；使用微调后的模型继续训练，并在测试集上进行评估；迭代执行，直至所有折都被用作一次测试集；将每次测试的性能指标进行平均，得到模型在整个数据集上的性能评估结果。

8、作为本发明所述基于多级智能联动的告警响应方法的一种优选方案，其中：多级告警分类预测模型的损失函数的具体公式如下：

9、

10、其中，c为类别，yi为类别是否为i，若是则yi＝1，不是则yi＝0，pi为样本i属于类别c的概率。

11、作为本发明所述基于多级智能联动的告警响应方法的一种优选方案，其中：多级告警分类预测模型的结构包括输入层、嵌入层、多级分类器以及输出层，多级分类器包括第一级分类器、第二级分类器和第三级分类器，第一级分类器根据最粗粒度将告警数据分为高层级的类别；第二级分类器根据第一级分类器的输出进一步细分告警数据；第三级分类器在第二级分类器的基础上进一步细分告警数据。

12、作为本发明所述基于多级智能联动的告警响应方法的一种优选方案，其中：根据输出结果实施不同级别告警的响应措施包括以下步骤：根据告警概率p将告警级别划分为高4级告警、高3级告警、高2级告警、高级告警、低级告警、低2级告警、低3级告警、低4级告警，若0≤p＜0.2，则属于低4级告警，通知值班人员，在24小时内检查问题原因，并记录日志和生成报告；若0.2≤p＜0.4，则属于低3级告警，通知技术支持团队，12小时内检查问题原因，并给出处理方案；若0.4≤p＜0.6，则属于低2级告警，通知运维团队，8小时内检查问题原因，并给出处理方案；若0.6≤p＜0.7，则属于低级告警，通知运维团队，4小时内检查问题原因，并给出处理方案；若0.7≤p＜0.8，则属于高级告警，通知运维团队和安全部门，在2小时内检查问题原因，并给出处理方案；若0.8≤p＜0.9，则属于高2级告警，通知运维团队、安全部门和管理层，召开紧急会议，研究应对方案，并在1小时内响应；若0.9≤p＜0.95，则属于高3级告警，通知各相关团队和管理层，召开紧急会议指定任务，在30分钟内响应；若0.95≤p≤1，则属于高4级告警，通知全部相关团队和管理层，在10分钟内响应，立即启动应急预案，全力应对；若预测告警等级为低级等级、高级告警、高2级告警、高3级告警、高4级告警，则处理完之后在5周期、4周期、3周期、2周期、1周期之后重新评估告警级别；若重新评估的告警等级小于等于低2级告警，则结束处理流程；若重新评估的告警等级高于低2级告警，则继续按照5周期、4周期、3周期、2周期、1周期重新评估告警级别，直到告警级别小于等于低2级告警为止。

13、作为本发明所述基于多级智能联动的告警响应方法的一种优选方案，其中：基于监控和评估结果采用自动化的模型迭代优化方法对多级告警分类预测模型进行迭代优化包括以下步骤：在模型预测过程中，收集预测质量监控指标包括精确率、召回率、f1分数；定期对模型进行重新评估，使用新收集的告警数据进行测试，获得更新后的评估指标；如果出现预测质量下降，则采用自动化模型优化方法进行迭代优化；迭代执行，实现模型的闭环迭代优化；定期重训模型，使用全部新旧数据训练新的模型，防止模型过拟合。

14、第二方面，本发明实施例提供了一种基于多级智能联动的告警响应系统，其包括数据采集模块，用于收集各类安全监控系统和设备生成的原始告警数据和实时告警数据，并进行数据预处理；模型构建模块，用于基于transformer建立并训练多级告警分类预测模型，通过stratified k-fold交叉验证和pbt优化进行模型性能评估和参数调优，并保存最优多级告警分类预测模型；实时预测模块，用于利用最优多级告警分类预测模型对实时告警数据进行实时预测，并输出告警概率p；自适应联动模块，用于根据输出结果实施不同级别告警的响应措施，并采用自适应的联动策略，通过将实时告警数据与历史数据进行比对和分析，动态调整告警触发时的联动策略。

15、第三方面，本发明实施例提供了一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其中：所述计算机程序指令被处理器执行时实现如本发明第一方面所述的基于多级智能联动的告警响应方法的步骤。

16、第四方面，本发明实施例提供了一种计算机可读存储介质，其上存储有计算机程序，其中：所述计算机程序指令被处理器执行时实现如本发明第一方面所述的基于多级智能联动的告警响应方法的步骤。

17、本发明有益效果为：本发明通过基于transformer的多级告警分类预测模型，能够对大量的告警数据进行准确的分类和分析，识别出不同级别的告警，从而提高分类准确性；通过动态调整告警触发时的联动策略，结合实时告警数据和历史数据的比对和分析，能够根据不断变化的网络安全环境灵活调整告警的触发和响应策略，增强系统的自适应性和灵活性；通过自动化的模型迭代优化方法，能够根据实际监控和评估结果进行模型的持续优化，实现闭环迭代，保证模型的准确性和实用性。