CN109379228A - 误告警信息识别方法及装置、存储介质、电子终端 - Google Patents

误告警信息识别方法及装置、存储介质、电子终端 Download PDF

Info

Publication number
CN109379228A
CN109379228A CN201811303635.3A CN201811303635A CN109379228A CN 109379228 A CN109379228 A CN 109379228A CN 201811303635 A CN201811303635 A CN 201811303635A CN 109379228 A CN109379228 A CN 109379228A
Authority
CN
China
Prior art keywords
data
warning information
characteristic
abnormal data
doubtful
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN201811303635.3A
Other languages
English (en)
Inventor
何勇彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ping An Technology Shenzhen Co Ltd
Original Assignee
Ping An Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ping An Technology Shenzhen Co Ltd filed Critical Ping An Technology Shenzhen Co Ltd
Priority to CN201811303635.3A priority Critical patent/CN109379228A/zh
Publication of CN109379228A publication Critical patent/CN109379228A/zh
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0604Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本公开涉及安全监控技术领域,尤其涉及一种误告警信息识别方法、一种误告警信息识别装置、电子设备以及存储介质。所述方法包获取当前流量数据;以所述当前流量数据作为入参输入已训练的告警识别模型以获取疑似异常数据;提取所述疑似异常数据的疑似特征数据;将所述特征数据与预设特征库进行比对以判断所述疑似异常数据是否为误告警信息。本公开能够有效的避免疑似异常数据产生误告警。进而保证网站的可用性。

Description

误告警信息识别方法及装置、存储介质、电子终端
技术领域
本公开涉及安全监控技术领域,尤其涉及一种误告警信息识别方法、一种误告警信息识别装置、电子设备以及存储介质。
背景技术
网站可用性是网站性能监测的重要指标之一,表示在一段时间内,网站处于“正常状态”的机率。随着互联网的快速发展,网站已经成为人们生活、工作中的常用的重要工具,因此网站的安全也就变得愈发重要。而网站的可用性是网站安全监控中最重要的部分,同时也是体现网站质量的重要的衡量标准。网站不可用不仅影响用户体验,也会产生巨大的经济损失。
从网站架构的角度来说,现有的网站可用性监控一般可以包括对网站应用层、服务层和数据层的监控;且各层之间具有相对的独立性,监控时若发生告警则会以邮件或其他方式进行通知或提示。但由于存在网络波动或其他不可预测的环境因素,会发生对可用性的误告警,需要运维人员进行核实,从而产生数据冗余、降低运维人员工作效率。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开的目的在于提供一种基于网络监控的误告警信息识别方法、误告警信息识别装置以及一种电子设备、存储介质,可以有效的降低误告警,提高工作效率。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开实施例的第一方面,提供一种误告警信息识别方法,所述方法包括:
获取当前流量数据;
以所述当前流量数据作为入参输入已训练的告警识别模型以获取疑似异常数据;
提取所述疑似异常数据的疑似特征数据;
将所述特征数据与预设特征库进行比对以判断所述疑似异常数据是否为误告警信息。
本公开的一种示例性实施例中,所述方法还包括:训练所述告警识别模型,包括:
提取监控历史数据;
根据所述监控历史数据对原始无监督模型进行训练以获取所述告警识别模型,以及所述监控历史数据对应的异常样本数据;
根据所述异常样本数据建立异常样本库。
本公开的一种示例性实施例中,所述方法还包括:
利用预设决策树模型计算所述异常样本数据的特征数据,并根据所述特征数据对所述异常样本数据进行分类以获取异常数据类型;
根据分类结果及所述特征数据及生成特征库,以建立所述特征数据与异常数据类型的映射关系。
本公开的一种示例性实施例中,所述异常数据类型包括:
DOS拒绝服务攻击、R2L远程主机未授权访问、U2R未授权的本地超级用户特权访问以及RPOBING端口监视或扫描中的任意一项或多项。
本公开的一种示例性实施例中,所述将所述特征数据与预设特征库进行比对以判断所述疑似异常数据是否为误告警信息包括:
在判断所述疑似异常数据为异常数据时,根据所述异常数据生成告警信息并推送至目标地址。
本公开的一种示例性实施例中,所述方法还包括:
提取多个所述告警信息的标识文本,并对所述标识文本进行分词处理以获取多个字段;
计算各所述字段的文本向量;
根据各所述字段的文本向量计算各所述标识文本的相似度;
将相似度大于预设阈值的多个所述标识文本对应的所述告警信息进行合并处理。
本公开的一种示例性实施例中,所述监控历史数据包括:预设探测点的测试数据、篡改监控数据、流量数据以及已收集完成的KDDCUP1999的数据集中的任一种或任意多种的组合。
根据本公开实施例的第二方面,提供一种误告警信息识别装置,包括:
流量数据获取模块,用于获取当前流量数据;
可疑数据计算模块,用于以所述当前流量数据作为入参输入已训练的告警识别模型以获取疑似异常数据;
特征数据提取模块,用于提取所述疑似异常数据中的疑似特征数据;
告警识别模块,用于将所述特征数据与预设特征库进行比对以判断所述疑似异常数据是否为误告警信息。
根据本公开的第三方面,提供一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述的误告警信息识别方法。
根据本公开的第四方面,一种电子终端,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器被配置为执行上述任意一种误告警信息识别方法。
本公开的实施例提供的技术方案可以包括以下有益效果:
本公开的一种实施例中,上述的误告警信息识别方法,通过利用告警识别模型提取出网站当前流量数据中的疑似异常数据,并对该疑似异常数据进行处理以获取对应的特征数据。通过对特征数据进行识别和判断,从而对疑似异常数据的准确性做出准确的判断。有效的避免疑似异常数据产生误告警。进而保证网站的可用性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示意性示出本公开示例性实施例中一种误告警信息识别方法的示意图;
图2示意性示出本公开示例性实施例中一种训练告警识别模型方法的示意图;
图3示意性示出本公开示例性实施例中多个告警消息处理方法的示意图;
图4示意性示出本公开示例性实施例中一种误告警信息识别装置组成示意图;
图5示意性示出本公开示例性实施例中一种误告警信息识别装置的另一种示意图;
图6示意性示出本公开示例性实施例中一种误告警信息识别装置的再一种示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
本示例实施方式中首先提供了一种误告警信息识别方法。参考图1中所示,该方法可以包括以下步骤:
步骤S101,获取当前流量数据;
步骤S102,以所述当前流量数据作为入参输入已训练的告警识别模型以获取疑似异常数据;
步骤S103,提取所述疑似异常数据的疑似特征数据;
步骤S104,将所述特征数据与预设特征库进行比对以判断所述疑似异常数据是否为误告警信息。
通过上述的误告警信息识别方法,一方面,通过利用告警识别模型提取出网站当前流量数据中的疑似异常数据,并对该疑似异常数据进行处理以获取对应的特征数据。另一方面,通过对特征数据进行识别和判断,从而对疑似异常数据的准确性做出准确的判断。有效的避免疑似异常数据产生误告警。进而保证网站的可用性。
下面,将参考附图及实施例对本示例实施方式中的上述方法的各个步骤进行更详细的说明。
步骤S101,获取当前流量数据。
本示例实施方式中,对于被监控的网站来说,可以将探测点布置在多个不同的城市以及不同的运营商之间。并可以通过NetMate提取被监控网站当前的实时运行的流量数据。
步骤S102,以所述当前流量数据作为入参输入已训练的告警识别模型以获取疑似异常数据。
本示例实施方式中,可以预先训练告警识别模型。具体来说,参考图2所示,训练所述告警识别模型可以包括:
步骤S201,提取监控历史数据;
步骤S202,根据所述监控历史数据对原始无监督模型进行训练以获取所述告警识别模型,以及所述监控历史数据对应的异常样本数据;
步骤S203,根据所述异常样本数据建立异常样本库。
举例来说,上述的监控历史数据可以包括:预设各探测点的测试数据、篡改监控数据以及流量数据。其中,各探测点的测试数据可以是例如网站的解析时间、连接时间及下载时间等参数。篡改监控数据可以是例如针对网页标题、网页关键字、网页描述等的变更数据。网站流量数据可以通过NetMate采集IP、端口、报文长度与内容等维度的特征。
当然,在本公开的其他示例性实施例中,上述的监控历史数据还可以包括已收集完成的KDDCUP1999的数据集,包括收集了9周时间的TCP dump网络连接和系统审计数据,仿真各种用户类型、各种不同的网络流量和攻击手段。其中,KDDCUP99数据集中每个网络连接分别被标记为正常或异常。
在提取上述的各项监控历史数据后,便可以对其进行离线的数据存储。并可以将监控历史数据作为输入参数,对原始无监督模型进行训练以获取告警识别模型。举例来说,原始无监督模型看可以是PCA算法模型或聚类算法模型,例如,层次聚类算法模型等。对于训练过程中生成的输出参数,即监控历史数据对应的异常样本数据,可以对其建立异常样本库。
基于上述内容,在本示例性实施例中,上述的方法还可以包括:
步骤S204,利用预设决策树模型计算所述异常样本数据的特征数据,并根据所述特征数据对所述异常样本数据进行分类以获取异常数据类型;
步骤S205,根据分类结果及所述特征数据及生成特征库,以建立所述特征数据与异常数据类型的映射关系。
对于异常样本库中的异常样本数据,可以通过C4.5决策树算法模型对异常样本数据计算特征数据,然后根据特征数据对异常样本数据进行分类,并建立特征数据与异常数据之间的映射关系。举例来说,异常数据的类别包括:DOS拒绝服务攻击;R2L远程主机未授权访问;U2R未授权的本地超级用户特权访问;RPOBING端口监视或扫描等类型。
步骤S103,提取所述疑似异常数据的疑似特征数据;
本示例实施方式中,可以利用上述的C4.5决策树算法模型对疑似异常数据计算以获取特征数据。
步骤S104,将所述特征数据与预设特征库进行比对以判断所述疑似异常数据是否为误告警信息。
本示例实施方式中,在获取疑似异常数据的对应的疑似特征数据后,便可以将该疑似特征数据与特征库进行对比,从而可以判断该疑似特征数据是否与特征库中的特征数据相同。若疑似特征数据与特征库中的部分特征数据相同,则说明该疑似异常数据为异常数据。
此外,在判断所述疑似异常数据为异常数据时,便可以根据该异常数据生成告警信息,并将告警信息推送至目标地址。例如,将告警信息以邮件、短息或APP消息等方式发送至运维人员或管理人员。
通过利用监控历史数据训练识别模型,能够使该识别模型识别误告警,减少由于网络波动等形成的误告警,更有利于运.维人员的日常运维工作开展。
基于上述内容,在本公开的其他示例性实施例中,还可以对多个告警信息进行处理。具体来说,参考图3所示,可以包括以下步骤:
步骤S301,提取多个所述告警信息的标识文本,并对所述标识文本进行分词处理以获取多个字段;
步骤S302,计算各所述字段的文本向量;
步骤S303,根据各所述字段的文本向量计算各所述标识文本的相似度;
步骤S304,将相似度大于预设阈值的多个所述标识文本对应的所述告警信息进行合并处理。
举例来说,上述的告警信息可是已生成待发送的告警邮件,或APP信息等。标识文本可以为邮件、APP消息的标题。以下以告警信息以告警邮件为例对上述方法的执行过程进行说明。
对于运维人员已接收到的多个告警邮件,或者即将发送至运维人员的多个告警邮件,可以对各邮件的标题利用jieba分词等工具进行分词处理,获取多个字段,并计算各字段的文本向量。进而可以通过各字段的文本向量计算各邮件标题之间文本的余弦相似度。若存在二个或更多数量告警邮件的标题之间的文本相似度大于预设的阈值,则说明该多个邮件对应的告警信息相同。此时便可以将该多个邮件进行合并,再推送至运维人员。从而可以避免相同信息的重复发送,减轻运维人员的负担。
综上所述,本示例性实施方式中的误告警信息识别方法,通过实时提取被监控网站的当前流量数据,并利用预先训练的告警识别模型识别当前流量数据中的疑似异常数据。并在对疑似异常数据提取疑似特征数据后,将疑似特征数据与预设的异常样本数据的特征库进行对比,从而判断疑似异常数据是否为异常数据。另外,还可以根据特征库中特征数据的类别关系对异常数据进行分类。进而对流量数据中的异常数据进行准确的识别。有效避免误告警的产生。
需要说明的是,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。另外,也易于理解的是,这些步骤可以是例如在多个模块/进程/线程中同步或异步执行。
进一步的,本示例实施方式中,还提供了一种误告警信息识别装置40。参考图4中所示,装置40可以包括:流量数据获取模块401、可疑数据计算模块402、特征数据提取模块403以及告警识别模块404。其中:
所述流量数据获取模块401可以用于获取当前流量数据。
所述可疑数据计算模块402可以用于以所述当前流量数据作为入参输入已训练的告警识别模型以获取疑似异常数据。
所述特征数据提取模块403可以用于提取所述疑似异常数据的疑似特征数据。
所述告警识别模块404可以用于将所述特征数据与预设特征库进行比对以判断所述疑似异常数据是否为误告警信息。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。作为模块或单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现木公开方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
在本公开的示例性实施例中,还提供了一种能够实现上述误告警信息识别方法的电子设备。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
下面参照图5来描述根据本发明的这种实施方式的电子设备600。图5显示的电子设备600仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图5所示,电子设备600以通用计算设备的形式表现。电子设备600的组件可以包括但不限于:上述至少一个处理单元610、上述至少一个存储单元620、连接不同系统组件(包括存储单元620和处理单元610)的总线630。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元610执行,使得所述处理单元610执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。例如,所述处理单元610可以执行如图1中所示的步骤S101,获取当前流量数据;步骤S102,以所述当前流量数据作为入参输入已训练的告警识别模型以获取疑似异常数据;步骤S103,提取所述疑似异常数据的疑似特征数据;以及步骤S104,将所述特征数据与预设特征库进行比对以判断所述疑似异常数据是否为误告警信息。
存储单元620可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)6201和/或高速缓存存储单元6202,还可以进一步包括只读存储单元(ROM)6203。
存储单元620还可以包括具有一组(至少一个)程序模块6205的程序/实用工具6204,这样的程序模块6205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线630可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备600也可以与一个或多个外部设备700(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备600交互的设备通信,和/或与使得该电子设备600能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口650进行。并且,电子设备600还可以通过网络适配器660与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器660通过总线630与电子设备600的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备600使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
参考图6所示,描述了根据本发明的实施方式的用于实现上述方法的程序产品800,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由所附的权利要求指出。

Claims (10)

1.一种误告警信息识别方法,其特征在于,包括:
获取当前流量数据;
以所述当前流量数据作为入参输入已训练的告警识别模型以获取疑似异常数据;
提取所述疑似异常数据的疑似特征数据;
将所述特征数据与预设特征库进行比对以判断所述疑似异常数据是否为误告警信息。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:训练所述告警识别模型,包括:
提取监控历史数据;
根据所述监控历史数据对原始无监督模型进行训练以获取所述告警识别模型,以及所述监控历史数据对应的异常样本数据;
根据所述异常样本数据建立异常样本库。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
利用预设决策树模型计算所述异常样本数据的特征数据,并根据所述特征数据对所述异常样本数据进行分类以获取异常数据类型;
根据分类结果及所述特征数据及生成特征库,以建立所述特征数据与异常数据类型的映射关系。
4.根据权利要求3所述的方法,其特征在于,所述异常数据类型包括:
DOS拒绝服务攻击、R2L远程主机未授权访问、U2R未授权的本地超级用户特权访问以及RPOBING端口监视或扫描中的任意一项或多项。
5.根据权利要求1所述的方法,其特征在于,所述将所述特征数据与预设特征库进行比对以判断所述疑似异常数据是否为误告警信息包括:
在判断所述疑似异常数据为异常数据时,根据所述异常数据生成告警信息并推送至目标地址。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
提取多个所述告警信息的标识文本,并对所述标识文本进行分词处理以获取多个字段;
计算各所述字段的文本向量;
根据各所述字段的文本向量计算各所述标识文本的相似度;
将相似度大于预设阈值的多个所述标识文本对应的所述告警信息进行合并处理。
7.根据权利要求1所述的方法,其特征在于,所述监控历史数据包括:预设探测点的测试数据、篡改监控数据、流量数据以及已收集完成的KDDCUP1999的数据集中的任一种或任意多种的组合。
8.一种误告警信息识别装置,其特征在于,包括:
流量数据获取模块,用于获取当前流量数据;
可疑数据计算模块,用于以所述当前流量数据作为入参输入已训练的告警识别模型以获取疑似异常数据;
特征数据提取模块,用于提取所述疑似异常数据的疑似特征数据;
告警识别模块,用于将所述特征数据与预设特征库进行比对以判断所述疑似异常数据是否为误告警信息。
9.一种存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序可由处理器执行执行完成权利要求1至7中任意一项所述的误告警信息识别方法。
10.一种电子终端,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器被配置为执行权利要求1-7任意一项所述的误告警信息识别方法。
CN201811303635.3A 2018-11-02 2018-11-02 误告警信息识别方法及装置、存储介质、电子终端 Withdrawn CN109379228A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811303635.3A CN109379228A (zh) 2018-11-02 2018-11-02 误告警信息识别方法及装置、存储介质、电子终端

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811303635.3A CN109379228A (zh) 2018-11-02 2018-11-02 误告警信息识别方法及装置、存储介质、电子终端

Publications (1)

Publication Number Publication Date
CN109379228A true CN109379228A (zh) 2019-02-22

Family

ID=65397562

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811303635.3A Withdrawn CN109379228A (zh) 2018-11-02 2018-11-02 误告警信息识别方法及装置、存储介质、电子终端

Country Status (1)

Country Link
CN (1) CN109379228A (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111556057A (zh) * 2020-04-29 2020-08-18 绿盟科技集团股份有限公司 一种流量异常检测方法、装置、电子设备及存储介质
CN111698209A (zh) * 2020-05-08 2020-09-22 国网安徽省电力有限公司亳州供电公司 一种网络异常流量检测方法及装置
CN111898647A (zh) * 2020-07-07 2020-11-06 贵州电网有限责任公司 一种基于聚类分析的低压配电设备误告警识别方法
CN113139817A (zh) * 2021-04-28 2021-07-20 北京沃东天骏信息技术有限公司 数据分类方法、数据分类装置、介质及电子设备
CN113157760A (zh) * 2020-01-22 2021-07-23 阿里巴巴集团控股有限公司 目标数据确定方法及装置
CN113596051A (zh) * 2021-08-05 2021-11-02 工银科技有限公司 检测方法、检测装置、电子设备、介质和计算机程序
CN113849383A (zh) * 2021-09-27 2021-12-28 广州华多网络科技有限公司 告警通知控制方法及其装置、设备、介质、产品
CN114070642A (zh) * 2021-11-26 2022-02-18 中国电信股份有限公司 网络安全检测方法、系统、设备及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103488689A (zh) * 2013-09-02 2014-01-01 新浪网技术(中国)有限公司 基于聚类的邮件分类方法和系统
CN103984703A (zh) * 2014-04-22 2014-08-13 新浪网技术(中国)有限公司 邮件分类方法和装置
CN105897517A (zh) * 2016-06-20 2016-08-24 广东电网有限责任公司信息中心 一种基于svm的网络流量异常检测方法
CN106060043A (zh) * 2016-05-31 2016-10-26 北京邮电大学 一种异常流量的检测方法及装置
CN106713324A (zh) * 2016-12-28 2017-05-24 北京奇艺世纪科技有限公司 一种流量检测方法及装置
CN107809331A (zh) * 2017-10-25 2018-03-16 北京京东尚科信息技术有限公司 识别异常流量的方法和装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103488689A (zh) * 2013-09-02 2014-01-01 新浪网技术(中国)有限公司 基于聚类的邮件分类方法和系统
CN103984703A (zh) * 2014-04-22 2014-08-13 新浪网技术(中国)有限公司 邮件分类方法和装置
CN106060043A (zh) * 2016-05-31 2016-10-26 北京邮电大学 一种异常流量的检测方法及装置
CN105897517A (zh) * 2016-06-20 2016-08-24 广东电网有限责任公司信息中心 一种基于svm的网络流量异常检测方法
CN106713324A (zh) * 2016-12-28 2017-05-24 北京奇艺世纪科技有限公司 一种流量检测方法及装置
CN107809331A (zh) * 2017-10-25 2018-03-16 北京京东尚科信息技术有限公司 识别异常流量的方法和装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
杨政安: ""基于数据挖掘的网络流量异常检测系统研究"", 《中国优秀硕士学位论文全文数据库(电子期刊)信息科技辑》 *

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113157760A (zh) * 2020-01-22 2021-07-23 阿里巴巴集团控股有限公司 目标数据确定方法及装置
CN111556057A (zh) * 2020-04-29 2020-08-18 绿盟科技集团股份有限公司 一种流量异常检测方法、装置、电子设备及存储介质
CN111556057B (zh) * 2020-04-29 2022-11-04 绿盟科技集团股份有限公司 一种流量异常检测方法、装置、电子设备及存储介质
CN111698209A (zh) * 2020-05-08 2020-09-22 国网安徽省电力有限公司亳州供电公司 一种网络异常流量检测方法及装置
CN111898647A (zh) * 2020-07-07 2020-11-06 贵州电网有限责任公司 一种基于聚类分析的低压配电设备误告警识别方法
CN113139817A (zh) * 2021-04-28 2021-07-20 北京沃东天骏信息技术有限公司 数据分类方法、数据分类装置、介质及电子设备
CN113596051A (zh) * 2021-08-05 2021-11-02 工银科技有限公司 检测方法、检测装置、电子设备、介质和计算机程序
CN113849383A (zh) * 2021-09-27 2021-12-28 广州华多网络科技有限公司 告警通知控制方法及其装置、设备、介质、产品
CN114070642A (zh) * 2021-11-26 2022-02-18 中国电信股份有限公司 网络安全检测方法、系统、设备及存储介质

Similar Documents

Publication Publication Date Title
CN109379228A (zh) 误告警信息识别方法及装置、存储介质、电子终端
US11562304B2 (en) Preventative diagnosis prediction and solution determination of future event using internet of things and artificial intelligence
US20200293946A1 (en) Machine learning based incident classification and resolution
Ashktorab et al. Tweedr: Mining twitter to inform disaster response.
CN110035049A (zh) 先期网络防御
KR102353545B1 (ko) 재난대응 추천방법 및 그 장치
CN109993189A (zh) 一种网络故障预警方法、装置和介质
CN112348660A (zh) 生成风险警示信息的方法、装置及电子设备
CN112989035A (zh) 基于文本分类识别用户意图的方法、装置及存储介质
US20220358292A1 (en) Method and apparatus for recognizing entity, electronic device and storage medium
CN112333128B (zh) 一种基于自编码器的Web攻击行为检测系统
CN109992484A (zh) 一种网络告警相关性分析方法、装置和介质
EP3667548A1 (en) Systems and methods for location threat monitoring
Duan et al. Automated security assessment for the internet of things
CN111191893A (zh) 风控文本处理方法、装置及电子设备
US20220318681A1 (en) System and method for scalable, interactive, collaborative topic identification and tracking
CN111178687A (zh) 金融风险分类方法、装置及电子设备
CN111191677B (zh) 用户特征数据生成方法、装置及电子设备
CN113792153A (zh) 问答推荐方法及其装置
CN111966730A (zh) 基于常驻地的风险预测方法、装置和电子设备
CN112016855A (zh) 基于关系网匹配的用户行业识别方法、装置和电子设备
CN112348662A (zh) 基于用户职业预测的风险评估方法、装置和电子设备
CN114398465A (zh) 互联网服务平台的异常处理方法、装置和计算机设备
CN113435753A (zh) 高危行业中企业风险判定方法、装置、设备及介质
Sundararajan et al. A tri-modular framework to minimize smart grid cyber-attack cognitive gap in utility control centers

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication

Application publication date: 20190222

WW01 Invention patent application withdrawn after publication