安全告警智能排查方法、网络设备及存储介质与流程

1.本技术涉及通讯设备技术领域，尤其涉及安全告警智能排查方法、网络设备及存储介质。


背景技术：

2.随着互联网行业的快速发展和应用创新的突飞猛进，网络流量的类型多样化、演变形和复杂性都随着新型网络应用及网络协议的不断涌现而日益增长，同时网络运营服务商和网络监管部门对了解网络流量构成、实施网络差异化服务，以及净化网络环境等诉求也愈强烈。其中，安全管理平台的安全告警是安全管理平台分析的基础，大多设备基于规则，阈值设定等进行上报告警日志，导致每天上报成千上万安全告警日志，一定程度给安全管理员排查、处置带来巨大的工作压力。
3.基于机器学习的攻击判定分类方法，需要大量带有真实标签的样本来训练分类器，但是获取大量真实标签需要耗费大量人力物力。因此针对实际信息安全应用场景下，基于安全管理平台上报的大量安全事件进行标记存在着工作量大，无法完成的问题。这里所进行的标记式这些安全事件是否是告警事件。例如是告警事件，则标记1，不是告警事件标记0。


技术实现要素：

4.为了克服相关技术中存在的问题，本技术提供了安全告警智能排查方法、网络设备及存储介质。
5.根据本技术实施例第一方面安全告警智能排查方法，包括：
6.获取安全事件数据；
7.抽取k数量个安全事件并标记告警事件；
8.利用分类模型对所标记的k个安全事件进行分类训练；
9.获取每个安全事件为告警事件的概率；
10.根据获取的k个安全事件每个事件发生告警的概率计算新的k值；
11.通过计算得到的新的k值对原k值进行迭代处理；
12.计算安全事件的错报漏报率；
13.当错报漏报率小于预设值，则分类模型收敛；
14.当错报漏报率大于等于预设值，通过迭代k值继续训练分类模型。
15.优选的，抽取k数量个安全事件，包括：
16.当判断为迭代初始，采用无监督算法对安全事件进行排序；
17.获取排序靠前的k数量个安全事件，并标记是否是告警事件；
18.当判断不是迭代初始，获取迭代后的k数量个安全事件；
19.利用迭代后的k数量个安全事件进行分类模型预测，获取每个安全事件的预测概率；
20.利用迭代后的k数量个安全事件进行基于无监督算法计算并进行排序；
21.基于安全事件的预测概率进行预测概率排序和预测概率的熵值计算与熵值排序；
22.抽取迭代后的所述无监督算法排序后的前k/3的安全事件；
23.抽取预测概率排序后概率大的前k/3的安全事件；
24.抽取熵值排序靠前的k/3的安全事件；
25.将迭代后的所述无监督算法排序后的前k/3的安全事件，预测概率排序后概率大的前k/3的安全事件和熵值排序靠前的k/3的安全事件组合成k数量个安全事件。
26.进一步地，无监督算法排序可以基于特征异常检测算法或使用图排序算法。
27.进一步地，图排序算法的公式：
[0028][0029][0030]
其中，a表示权重值，h表示节点，基于h结果进行排序。
[0031]
进一步地，特征异常检测算法基于标记得分异常的事件进行排序。
[0032]
优选的，通过计算获取新的k值，包括：
[0033]
基于预测概率中基于标记为是告警事件和不是告警事件的概率计算对应的熵值；
[0034]
对所述k个安全事件的熵值进行排序；
[0035]
预设安全事件发生概率在0.5的有m个，则k/3+k6≈m；
[0036]
计算得到k≈2m。
[0037]
进一步地，基于预测概率中基于标记为是告警事件和不是告警事件的概率计算对应的熵值公式：
[0038][0039]
其中，p(xi)表示告警事件发生的概率，n＝1,2。
[0040]
优选的，计算安全事件的错报漏报率，包括：
[0041]
获取一批新的安全事件数据；
[0042]
将新一批的安全事件以k值迭代的方式输入分类模型预测告警事件；
[0043]
将新一批的安全事件通过标记告警事件；
[0044]
将预测得到的告警事件与标记的告警事件进行比较，计算预测得到告警事件的漏报错报率。
[0045]
本技术实施例第二方面提供了网络设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行程序时执行上述安全告警智能排查方法。
[0046]
本技术实施例第三方面提供理论存储介质，其上存储有计算机程序指令，程序指令被处理器执行时用于实现上述安全告警智能排查方法。
[0047]
本技术实施例提供的技术方案可以包括以下有益效果：
[0048]
本技术实施例中工作人员只需对抽检的k数量个安全事件数据进行标记，大大减
少了工作人员的工作量。
[0049]
应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本技术。
附图说明
[0050]
此处的附图被并入申请中并构成本技术的一部分，示出了符合本技术的实施例，并与申请一起用于解释本技术的原理。
[0051]
图1是本技术实施例流程示意图；
[0052]
图2是本技术中k数量个安全事件的获取方法示意图；
[0053]
图3是本技术图排序算法示意图；
[0054]
图4是本技术计算获取新的k值的方式示意图；
[0055]
图5是本技术计算安全事件的错报漏报率示意图。
具体实施方式
[0056]
这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本技术相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本技术的一些方面相一致的装置和方法的例子。
[0057]
为解决背景技术存在的问题，本技术实施例提供了安全告警智能排查方法，如图1所示，包括：
[0058]
获取安全事件数据；
[0059]
抽取k数量个安全事件并标记告警事件；
[0060]
利用分类模型对所标记的k个安全事件进行分类训练；
[0061]
获取每个安全事件为告警事件的概率；
[0062]
根据获取的k个安全事件每个事件发生告警的概率计算新的k值；
[0063]
通过计算得到的新的k值对原k值进行迭代处理；
[0064]
计算安全事件的错报漏报率；
[0065]
当错报漏报率小于预设值，则分类模型收敛；
[0066]
当错报漏报率大于等于预设值，需要通过迭代k值继续训练分类模型。
[0067]
本技术实施例因为每次只抽取k数量个安全事件通过模型进行预测和安全事件标记，因此工作人员需要手工操作标记的安全事件数量大大降低。而由于k值是一个动态调整的数据，因此分类模型预测根据调整的k值进行预测，预测数据更为精准，能够做到快速收敛。
[0068]
在本实施例中需要说明抽取k数量个安全事件是如何得到的，具体来说包括以下两种情况，如图2所示：
[0069]
情况一：当判断为迭代初始，因为此时没有已算好的迭代的新的k值，因此采用无监督算法对安全事件进行排序；获取排序靠前的k数量个安全事件，并标记是否是告警事件。
[0070]
情况二：当判断不是迭代初始，获取迭代后的k数量个安全事件；(1)利用迭代后的
k数量个安全事件进行分类模型预测，获取每个安全事件的预测概率；(2)利用迭代后的k数量个安全事件进行基于无监督算法计算并进行排序；(3)基于安全事件的预测概率进行预测概率排序和预测概率的熵值计算与熵值排序。抽取迭代后的无监督算法排序后的前k/3的安全事件；抽取预测概率排序后概率大的前k/3的安全事件；抽取熵值排序靠前的k/3的安全事件；将迭代后的所述无监督算法排序后的前k/3的安全事件，预测概率排序后概率大的前k/3的安全事件和熵值排序靠前的k/3的安全事件组合成k数量个安全事件。这里需要说明的是排序靠前指的是告警事件概率发生大的事件。
[0071]
这里的无监督算法可以是基于特征异常检测算法获取的，也可以是使用图排序算法获取的。
[0072]
图排序算法具体来说是通过下述公式实现,其中，a表示权重值，h表示节点，基于h结果进行排序。如图所示3，a(1)＝h(2)+h(3)+h(4),h(1)＝a(5)+a(6)+a(7)。每个节点都会有两个属性值，a值和h值，从物理意义上理解：当一个主机发起多个攻击事件时，表示该主机大概率已经失陷(中毒)，则在图中表现为一个节点指向多个节点，这里基于每个节点的h值排序作为最后的排序结果。
[0073]
特征异常检测算法是基于标记得分异常的事件进行排序。
[0074]
本技术实施例中计算获取新的k值，如图4所示，包括：
[0075]
基于预测概率中基于标记为是告警事件和不是告警事件的概率计算对应的熵值；
[0076]
对k个安全事件的熵值进行排序；
[0077]
预设安全事件发生概率在0.5的有m个，这是因为通过实验发现，不确定安全事件的熵值在事件预测概率为0.5附近，这也符合其实际物理特性，则k/3+k6≈m；因此计算得到k≈2m。利用熵值排序预测，主要利用熵值的稳定性特性。
[0078]
基于预测概率中基于标记为是告警事件和不是告警事件的概率计算对应的熵值公式：
[0079][0080]
其中，p(xi)表示告警事件发生的概率，n＝1，2。是基于预测概率中标记类别0和类别1的概率计算对应的熵值。本技术实施例中可以以标记0为非告警事件或正常事件，标记1为告警事件。当然也可以反过来设置。
[0081]
本技术实施例中的计算安全事件的错报漏报率，如图5所示，包括：
[0082]
获取一批新的安全事件数据；
[0083]
将新一批的安全事件以k值迭代的方式输入分类模型预测告警事件；
[0084]
将新一批的安全事件进行告警事件标记；
[0085]
将预测得到的告警事件与标记的告警事件进行比较，计算预测得到告警事件的漏报错报率。
[0086]
本技术实施例第二方面还提供了网络设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行程序时执行上述安全告警智能排查方
法。
[0087]
本技术实施例第三方面提供了存储介质，其上存储有计算机程序指令，程序指令被处理器执行时用于实现上述安全告警智能排查方法。
[0088]
应当理解的是，本技术并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本技术的范围仅由所附的权利要求来限制。
[0089]
以上仅为本技术的较佳实施例而已，并不用以限制本技术，凡在本技术的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本技术保护的范围之内。