一种用于检测关联报警事件的方法及系统与流程

本发明涉及网络信息安全，并且更具体地，涉及一种用于检测关联报警事件的方法及系统。

背景技术：

1、随着网络技术的不断发展，网络攻击事件的数量和频率越来越大。大部分网络系统都可能遭受或潜在遭受恶意的网络攻击，并且恶意的网络攻击通常会给网络系统造成损失。有些情况下，恶意的网络攻击造成的损失非常大。

2、为此，诸如入侵检测技术等的网络信息安全技术被人们广泛用于对恶意攻击的检测，以尽早阻断网络攻击。入侵检测技术通常会根据所检测的网络行为生成报警事件，以提供事件记录或后续处理。实际上，很多报警事件存在一定的关联性，例如，攻击行为来自相同的恶意攻击者等。

3、然而，目前没有针对关联报警事件进行检测的有效技术，使得只能孤立或单独地处理每个报警事件。这种情况下，一方面无法发现潜在网络攻击威胁，另一方面无法提升针对于报警事件的处理效率。

技术实现思路

1、为了解决现有技术中的问题，本发明的技术方案提出了一种用于检测关联报警事件的方法及系统、以及一种计算机可读存储介质和一种电子设备，本发明的技术方案能够有效地在多个报警事件中识别处出关联的报警事件，以使得能够更快且更有效地识别潜在网络攻击威胁，提升了针对于大量报警事件的处理效率。

2、根据本发明的一个方面，提供了一种用于检测关联报警事件的方法，所述方法包括：

3、当接收到针对于关联报警事件的检测请求时，从所述检测请求中提取请求方信息和报警事件信息；

4、对所述请求方信息进行解析，以获取所述请求方的标识信息和身份信息，并且对所述报警事件信息进行解析，以获取检测请求所涉及的报警事件的属性信息；

5、基于所述请求方的标识信息和请求方的身份信息对所述请求方进行身份验证；

6、当所述请求方通过身份验证时，基于所述检测请求所涉及的报警事件的属性信息在报警事件数据库中获取与所述检测请求所涉及的报警事件具有关联关系的多个报警事件，将所述检测请求所涉及的报警事件和具有关联关系的多个报警事件构成包括多个报警事件的报警事件检测集合；

7、基于报警事件检测集合中每个报警事件的属性信息生成输入向量，从而获得与报警事件检测集合相关联的多个输入向量，由关联度检测模型对所述多个输入向量进行处理，以确定报警事件检测集合的关联报警概率值；以及

8、当关联报警概率值大于概率阈值时，确定所述报警事件检测集合中的多个报警事件属于关联报警事件。

9、优选地，其中，基于所述请求方的标识信息和请求方的身份信息对所述请求方进行身份验证，包括：

10、从所述请求方的身份信息中获取所述请求方的当前认证信息；

11、基于所述请求方的标识信息在认证数据库中进行检索，以获取与所述请求方相关联的预先存储的认证信息；

12、基于与所述请求方相关联的预先存储的认证信息对所述请求方的当前认证信息进行身份验证。

13、优选地，其中，基于与所述请求方相关联的预先存储的认证信息对所述请求方的当前认证信息进行身份验证，包括：

14、从所述请求方的当前认证信息中提取至少两个当前认证信息项；基于与所述请求方相关联的预先存储的认证信息对每个当前认证信息项进行身份验证。

15、优选地，其中，基于与所述请求方相关联的预先存储的认证信息对每个当前认证信息项进行身份验证，包括：

16、从与所述请求方相关联的预先存储的认证信息中获取预先存储的多个认证信息项；

17、将每个当前认证信息项与预先存储的多个认证信息项中相应类型的认证信息项进行比对，从而基于比对的结果确定身份验证的结果。

18、优选地，所述认证信息项的类型包括：密码认证信息项、指纹认证信息项、声音认证信息项和图像认证信息项。

19、优选地，其中，将每个当前认证信息项与预先存储的多个认证信息项中相应类型的认证信息项进行比对，从而基于比对的结果确定身份验证的结果，包括：

20、将每个当前认证信息项与预先存储的多个认证信息项中相应类型的认证信息项进行比对，以获得每个当前认证信息项的比对结果；

21、当每个当前认证信息项的比对结果均为相同时，确定所述请求方通过身份验证；

22、当任意的当前认证信息项的比对结果为不相同时，确定所述请求方未通过身份验证。

23、优选地，其中所述属性信息包括：源网络地址、源端口号、目的网络地址、目的端口号、攻击类型以及时间戳。

24、优选地，其中，源网络地址为报警事件中发起攻击的发起方设备的网络地址，源端口号为报警事件中发起攻击的发起方设备所使用的端口号，目的网络地址为报警事件中遭受攻击的被攻击设备的网络地址，目的端口号为被攻击设备在报警事件中遭受攻击所涉及的端口号。

25、优选地，其中，所述攻击类型为拒绝服务攻击、网络钓鱼攻击、扫描攻击、缓冲区溢出攻击、密码攻击或结构化查询语言sql注入攻击；

26、时间戳用于指示检测到报警事件的时刻。

27、优选地，其中，基于所述检测请求所涉及的报警事件的属性信息在报警事件数据库中获取与所述检测请求所涉及的报警事件具有关联关系的多个报警事件，包括：

28、从所述检测请求所涉及的报警事件的属性信息中获取所述检测请求所涉及的报警事件的源网络地址、目的网络地址以及时间戳，将所述检测请求所涉及的报警事件的源网络地址、目的网络地址以及时间戳分别作为基础源网络地址、基础目的网络地址以及基础时间戳；

29、获取报警事件数据库中每个报警事件的属性信息，将属性信息中的时间戳早于基础时间戳、源网络地址与基础源网络地址相同并且目的网络地址和基础目的网络地址相同的报警事件确定为与所述检测请求所涉及的报警事件具有关联关系的报警事件，从而在报警事件数据库中获取与所述检测请求所涉及的报警事件具有关联关系的多个报警事件。

30、优选地，其中，基于所述检测请求所涉及的报警事件的属性信息在报警事件数据库中获取与所述检测请求所涉及的报警事件具有关联关系的多个报警事件，包括：

31、从所述检测请求所涉及的报警事件的属性信息中获取所述检测请求所涉及的报警事件的目的网络地址、源端口号、目的端口号以及时间戳，将所述检测请求所涉及的报警事件的目的网络地址、源端口号、目的端口号以及时间戳分别作为基础目的网络地址、基础源端口号、基础目的端口号以及基础时间戳；

32、获取报警事件数据库中每个报警事件的属性信息，将属性信息中的时间戳早于基础时间戳、目的网络地址与基础目的网络地址相同、源端口号和基础源端口号相同并且目的端口号和基础目的端口号相同的报警事件确定为与所述检测请求所涉及的报警事件具有关联关系的报警事件，从而在报警事件数据库中获取与所述检测请求所涉及的报警事件具有关联关系的多个报警事件。

33、优选地，其中，基于报警事件检测集合中每个报警事件的属性信息生成输入向量，从而获得与报警事件检测集合相关联的多个输入向量，包括：

34、获取报警事件检测集合中每个报警事件的属性信息中的源网络地址、源端口号、目的网络地址、目的端口号、攻击类型以及时间戳；

35、基于源网络地址、源端口号、目的网络地址、目的端口号、攻击类型以及时间戳生成与每个报警事件相关联的输入向量，从而获得与报警事件检测集合相关联的多个输入向量。

36、优选地，其中，由关联度检测模型对所述多个输入向量进行处理，以确定报警事件检测集合的关联报警概率值，包括：

37、所述关联度检测模型的输入层获取与报警事件检测集合相关联的多个输入向量，将与报警事件检测集合相关联的多个输入向量依次序输入到所述关联度检测模型的循环层的相应计算单元；其中，所述循环层包括按照层级方式连接的多个计算单元，多个计算单元中的每个计算单元包括：模糊处理模块和记忆加强处理模块；

38、所述关联度检测模型的循环层利用多个计算单元对多个输入向量进行计算，从而确定隐藏状态值；

39、所述关联度检测模型的全连接层根据所述隐藏状态值，确定多个输入向量的关联度；以及

40、所述关联度检测模型的输出层根据多个输入向量的关联度，确定报警事件检测集合中多个报警事件的关联报警概率值。

41、优选地，所述关联度检测模型的循环层利用多个计算单元对多个输入向量进行计算，从而确定隐藏状态值，包括：

42、由第t个计算单元的模糊处理模块基于第t个输入向量和第t-1个计算单元的隐藏状态值进行计算，以获取第t个计算单元的模糊结果值；其中，1≤t≤n，其中t和n为自然数并且n为循环层的计算单元的数量；并且输入向量的数量为n；

43、由第t个计算单元的记忆加强处理模块基于第t个输入向量和第t-1个计算单元的隐藏状态值进行计算，以获取第t个计算单元的记忆加强结果值；

44、由第t个计算单元基于第t个计算单元的模糊结果值、第t个计算单元的记忆加强结果值、第t个输入向量以及第t-1个计算单元的隐藏状态值进行计算，以获取第t个计算单元的候选隐藏状态值；以及

45、基于第t个计算单元的模糊结果值、第t个计算单元的记忆加强结果值、第t-1个计算单元的隐藏状态值以及第t个计算单元的候选隐藏状态值进行计算，以获取第t个计算单元输出的隐藏状态值。

46、优选地，其中，由第t个计算单元的模糊处理模块基于第t个输入向量和第t-1个计算单元的隐藏状态值进行计算，以获取第t个计算单元的模糊结果值，包括：

47、基于以下公式进行计算：

48、mt＝leaky relu(wr*[ht-1,xt]*[ht-1,xt]t)+tanh(wm*(ht-1,xt]*[ht-1,xt]t)2)+sigmod(wu*(ht-1,xt]*[ht-1,xt]t)2-[ht-1,xt]*[ht-1,xt]t+b)；

49、其中，mt为第t个计算单元的模糊处理模块进行数据处理所输出的模糊结果值，leaky relu，tanh和sigmod均为激活函数，wr，wm和wu为模糊处理模块的权重矩阵，ht-1是第t-1个计算单元输出的隐藏状态值并且ht-1被输入到第t个计算单元，xt是第t个计算单元的输入向量，其中h0为随机值，t为转置，b为偏置值；

50、模糊处理模块是用于确定第t-1个计算单元的状态信息中需要在第t个计算单元被忘记的部分状态信息，所述被忘记的部分状态信息是对关联度检测模型的输出结果影响度小于影响度阈值的部分状态信息。

51、优选地，其中，由第t个计算单元的记忆加强处理模块基于第t个输入向量和第t-1个计算单元的隐藏状态值进行计算，以获取第t个计算单元的记忆加强结果值，包括：基于以下公式进行计算：

52、st＝leaky relu(wz*[ht-1,xt]*[ht-1,xt]t)+tanh(wa*([ht-1,xt]*[ht-1,xt]t)2)+sigmod(wb*([ht-1,xt]*[ht-1,xt]t)2+[ht-1,xt]*[ht-1,xt]t+c)；

53、其中，st为第t个计算单元的记忆加强处理模块进行数据处理所输出的记忆加强结果值，leaky relu，tanh和si gmod均为激活函数，wz，wa和wb为记忆加强处理模块的权重矩阵，ht-1是第t-1个计算单元输出的隐藏状态值并且ht-1被输入到第t个计算单元，xt是第t个计算单元的输入向量，1<t≤n，其中t和n为自然数并且n为循环层的计算单元的数量；t为转置，c为偏置值；

54、记忆加强处理模块用于确定第t-1个计算单元的状态信息中在第t个计算单元中的保留记忆的部分状态信息，并且第t个计算单元对保留记忆的部分状态信息进行重要度加强处理。

55、优选地，其中，由第t个计算单元基于第t个计算单元的模糊结果值、第t个计算单元的记忆加强结果值、第t个输入向量以及第t-1个计算单元的隐藏状态值进行计算，以获取第t个计算单元的候选隐藏状态值，包括：

56、基于以下公式进行计算：

57、

58、其中，为第t个计算单元的候选隐藏状态值，wk和wp为权重矩阵,d和e均为偏置值。

59、优选地，其中，基于第t个计算单元的模糊结果值、第t个计算单元的记忆加强结果值、第t-1个计算单元的隐藏状态值以及第t个计算单元的候选隐藏状态值进行计算，以获取第t个计算单元输出的隐藏状态值，包括：

60、基于以下公式进行计算：

61、

62、其中，⊙为哈达玛积，ht是第t个计算单元输出的隐藏状态值。

63、优选地，其中，所述关联度检测模型的全连接层根据所述隐藏状态值，确定多个输入向量的关联度，包括：

64、所述关联度检测模型的全连接层基于以下公式确定多个输入向量的关联度：

65、确定全连接层输出的二维向量：

66、y＝relu(hnwhy+by)

67、其中，y为全连接层输出的二维向量并且二维向量y＝[y1,y2]，其中y1为用于指示多个输入向量相关联的值，y2为用于指示多个输入向量不相关联的值，hn为第n个计算单元输出的隐藏状态值，wny为全连接层的权重值，by为全连接层的偏置，leaky relu为激活函数；

68、基于全连接层输出的结果集确定多个输入向量的关联度：

69、

70、优选地，其中，所述关联度检测模型的输出层根据多个输入向量的关联度，确定报警事件检测集合中多个报警事件的关联报警概率值，包括：

71、s＝relation×α

72、其中，s为报警事件检测集合中多个报警事件的关联报警概率值，α为调节系数，当n大于第一数量阈值时，α＝0.98；当n小于或等于第一数量阈值并且大于第二数量阈值时，α＝0.95；当n小于或等于第二数量阈值时，α＝0.92。

73、根据本发明的另一方面，提供一种用于检测关联报警事件的系统，所述系统包括：

74、提取装置，用于当接收到针对于关联报警事件的检测请求时，从所述检测请求中提取请求方信息和报警事件信息；

75、解析装置，用于对所述请求方信息进行解析，以获取所述请求方的标识信息和身份信息，并且对所述报警事件信息进行解析，以获取检测请求所涉及的报警事件的属性信息；

76、验证装置，用于基于所述请求方的标识信息和请求方的身份信息对所述请求方进行身份验证；

77、获取装置，用于当所述请求方通过身份验证时，基于所述检测请求所涉及的报警事件的属性信息在报警事件数据库中获取与所述检测请求所涉及的报警事件具有关联关系的多个报警事件，将所述检测请求所涉及的报警事件和具有关联关系的多个报警事件构成包括多个报警事件的报警事件检测集合；

78、处理装置，用于基于报警事件检测集合中每个报警事件的属性信息生成输入向量，从而获得与报警事件检测集合相关联的多个输入向量，由关联度检测模型对所述多个输入向量进行处理，以确定报警事件检测集合的关联报警概率值；以及

79、确定装置，用于当关联报警概率值大于概率阈值时，确定所述报警事件检测集合中的多个报警事件属于关联报警事件

80、根据本发明的再一方面，提供一种计算机可读存储介质，其特征在于，所述存储介质存储有计算机程序，所述计算机程序用于执行任意实施例所述的方法。

81、根据本发明的再一方面，提供一种电子设备，包括：

82、处理器；

83、用于存储所述处理器可执行指令的存储器；

84、所述处理器，用于从所述存储器中读取所述可执行指令，并执行所述指令以实现任意实施例所述的方法。

85、根据本发明的技术方案，从检测请求中提取请求方信息和报警事件信息，并据此获取请求方的标识信息和身份信息以及报警事件的属性信息。随后，基于检测请求所涉及的报警事件的属性信息在报警事件数据库中获取与所述检测请求所涉及的报警事件具有关联关系的多个报警事件，以构成包括多个报警事件的报警事件检测集合，基于每个报警事件的属性信息生成输入向量，由关联度检测模型对所述多个输入向量进行处理，以确定报警事件检测集合的关联报警概率值。最后，当关联报警概率值大于概率阈值时，确定所述报警事件检测集合中的多个报警事件属于关联报警事件。本发明的技术方案能够有效地在多个报警事件中识别处出关联的报警事件，以使得能够更快且更有效地识别潜在网络攻击威胁，提升了针对于大量报警事件的处理效率。