CN110457906A - 一种网络安全事件智能告警方法 - Google Patents

一种网络安全事件智能告警方法 Download PDF

Info

Publication number
CN110457906A
CN110457906A CN201910752900.4A CN201910752900A CN110457906A CN 110457906 A CN110457906 A CN 110457906A CN 201910752900 A CN201910752900 A CN 201910752900A CN 110457906 A CN110457906 A CN 110457906A
Authority
CN
China
Prior art keywords
shot
long term
deferring
intelligent alarm
quantile
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910752900.4A
Other languages
English (en)
Other versions
CN110457906B (zh
Inventor
葛朝强
葛敏辉
翟海保
屈刚
张亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Venus Information Security Technology Co Ltd
East China Grid Co Ltd
Original Assignee
Beijing Venus Information Security Technology Co Ltd
East China Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Venus Information Security Technology Co Ltd, East China Grid Co Ltd filed Critical Beijing Venus Information Security Technology Co Ltd
Priority to CN201910752900.4A priority Critical patent/CN110457906B/zh
Publication of CN110457906A publication Critical patent/CN110457906A/zh
Application granted granted Critical
Publication of CN110457906B publication Critical patent/CN110457906B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Mathematical Physics (AREA)
  • Medical Informatics (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Artificial Intelligence (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种网络安全事件智能告警方法,包括下列步骤:超参数优化步骤:基于网络安全历史数据,对于遵从分位数回归的长短期记忆网络模型的模型参数θ进行超参数优化,得到遵从分位数回归的长短期记忆网络模型的优选模型参数训练固化步骤:基于遵从分位数回归的长短期记忆网络模型的优选模型参数离线训练并固化遵从分位数回归的长短期记忆网络模型;智能告警区间计算步骤:基于网络安全在线数据,通过遵从分位数回归的长短期记忆网络模型计算网络安全的智能告警区间;区间比较步骤:将网络安全在线数据与智能告警区间进行比较,如果网络安全在线数据超出智能告警区间则告警。

Description

一种网络安全事件智能告警方法
技术领域
本发明涉及网络安全领域的一种网络安全事件智能告警方法。
背景技术
当前网络安全监控平台的安全告警规则中存在以下问题,比如安全告警规则中触发告警的阀值都是静态设置的,没有在复杂的网络环境中细化更合理的阀值动态设置,存在准确性不高的缺点,人工调整阈值参数工作量大,依赖人工经验,对于网络安全事件响应的智能化程度不够,无法适应日益严峻的网络安全形势。
发明内容
本发明的目的是为了克服现有技术的不足,提供一种网络安全事件智能告警方法,其可以根据网络安全历史数据,通过遵从分位数回归的长短期记忆网络的机器学习,实现告警阈值的全自动设置。
实现上述目的的一种技术方案是:一种网络安全事件智能告警方法,包括下列步骤:
超参数优化步骤:基于网络安全历史数据,对于遵从分位数回归的长短期记忆网络模型的模型参数θ进行超参数优化,得到遵从分位数回归的长短期记忆网络模型的优选模型参数
训练固化步骤:基于遵从分位数回归的长短期记忆网络模型的优选模型参数离线训练并固化遵从分位数回归的长短期记忆网络模型;
智能告警区间计算步骤:基于网络安全在线数据,通过遵从分位数回归的长短期记忆网络模型计算网络安全的智能告警区间;
区间比较步骤:将网络安全在线数据与智能告警区间进行比较,如果网络安全在线数据超出智能告警区间则告警。
进一步的,所述网络安全事件智能告警方法还包括告警分类步骤。
进一步的,超参数优化步骤中,令f(Xi,θ)为遵从分位数回归的长短期记忆网络模型的分位数回归函数,令ρu为遵从分位数回归的长短期记忆网络模型的损失函数;令ρu的下分位数ulo=u/2,令ρu的上分位数uhi=1-u/2;其中u∈(0,1)为显著性水平,则:
再进一步的,训练固化步骤中,首先将从历史安全数据库中读取的网络安全历史数据的N个样本划分为不相交的两个子集,即训练集Γ1和校正集Γ2
基于训练集Γ1,训练上位数的回归模型下分位数的回归模型即:其中Β为分位数回归算子;
基于校正集Γ2,即i∈Γ2,计算遵从分位数回归的长短期记忆网络模型的目标函数E,即
计算总体分位数Q1-u,公式为:Q1-u(E,Γ2)=(1-u)(1+1/|Γ2|);
输出预测区间C(X),公式为:
其中X∈Xi
采用了本发明的一种网络安全事件智能告警方法的技术方案,包括下列步骤:超参数优化步骤:基于网络安全历史数据,对于遵从分位数回归的长短期记忆网络模型的模型参数θ进行超参数优化,得到遵从分位数回归的长短期记忆网络模型的优选模型参数训练固化步骤:基于遵从分位数回归的长短期记忆网络模型的优选模型参数离线训练并固化遵从分位数回归的长短期记忆网络模型;智能告警区间计算步骤:基于网络安全在线数据,通过遵从分位数回归的长短期记忆网络模型计算网络安全的智能告警区间;区间比较步骤:将网络安全在线数据与智能告警区间进行比较,如果网络安全在线数据超出智能告警区间则告警。其技术效果是:其可以根据网络安全历史数据,通过遵从分位数回归的长短期记忆网络的机器学习,实现告警阈值的全自动设置。
附图说明
图1为本发明的一种网络安全事件智能告警方法的示意图。
具体实施方式
请参阅图1,本发明的发明人为了能更好地对本发明的技术方案进行理解,下面通过具体地实施例,并结合附图进行详细地说明:
请参阅图1,本发明为了提高网络安全监控平台阈值设置的准确度和智能性,基于遵从分位数回归(Conformalized Quantile Regression COR)的长短期记忆网络(longshort-term memory LSTM)模型,提出了本发明的一种网络安全事件智能告警方法。
本发明的一种网络安全事件智能告警方法,包括下列步骤:
离线步骤:
超参数优化步骤:基于网络安全历史数据,对于遵从分位数回归的长短期记忆网络模型的模型参数进行超参数优化。
从历史安全数据库中读取网络安全历史数据的N个样本Xi和Yi均为向量,对长短期记忆网络模型做分位数回归,分位数回归的优化目标函数是使加权误差绝对值之和的平均值最小化。令θ是遵从分位数回归的长短期记忆网络模型的模型参数,令f(Xi,θ)为遵从分位数回归的长短期记忆网络的分位数回归函数,令ρu为遵从分位数回归的长短期记忆网络模型的损失函数。令ρu的下分位数ulo=u/2,令ρu的上分位数uhi=1-u/2。其中u∈(0,1)为显著性水平。
其中为遵从分位数回归的长短期记忆网络的优选模型参数。
训练固化步骤:基于遵从分位数回归的长短期记忆网络模型的优选模型参数,训练并固化遵从分位数回归的长短期记忆网络模型。
首先将从历史安全数据库中读取的网络安全历史数据的N个样本划分为不相交的两个子集,即训练集Γ1和校正集Γ2,通过校正集Γ2的覆盖宽度指标来计算最终的判别预测区间。
基于训练集Γ1,训练上位数的回归模型下分位数的回归模型即:其中Β为分位数回归算子。
基于校正集Γ2,即i∈Γ2,计算遵从分位数回归的长短期记忆网络模型的目标函数E,即
计算总体分位数Q1-u,公式为:Q1-u(E,Γ2)=(1-u)(1+1/|Γ2|);
输出预测区间C(X),公式为:
其中X∈Xi
在线计算步骤:
动态阈值计算步骤:基于网络安全在线数据,通过基于遵从分位数回归的长短期记忆网络模型计算网络安全数据的智能告警区间。
区间比较步骤:将网络安全在线数据与智能告警区间进行比较,如果网络安全在线数据超出智能告警区间则告警。
告警分类步骤:根据网络安全在线数据与智能告警区间之间的对应关系,对告警事件进行分级分类,产生网络安全事件智能告警。
本发明的一种网络安全事件智能告警方法,其可以根据网络安全历史数据,通过遵从分位数回归的长短期记忆网络的机器学习,实现告警阈值的全自动设置。
本技术领域中的普通技术人员应当认识到,以上的实施例仅是用来说明本发明,而并非用作为对本发明的限定,只要在本发明的实质精神范围内,对以上所述实施例的变化、变型都将落在本发明的权利要求书范围内。

Claims (4)

1.一种网络安全事件智能告警方法,包括下列步骤:
超参数优化步骤:基于网络安全历史数据,对于遵从分位数回归的长短期记忆网络模型的模型参数θ进行超参数优化,得到遵从分位数回归的长短期记忆网络模型的优选模型参数
训练固化步骤:基于遵从分位数回归的长短期记忆网络模型的优选模型参数离线训练并固化遵从分位数回归的长短期记忆网络模型;
智能告警区间计算步骤:基于网络安全在线数据,通过遵从分位数回归的长短期记忆网络模型计算网络安全的智能告警区间;
区间比较步骤:将网络安全在线数据与智能告警区间进行比较,如果网络安全在线数据超出智能告警区间则告警。
2.根据权利要求1所述的一种网络安全事件智能告警方法,其特征在于:其还包括告警分类步骤。
3.根据权利要求1所述的一种网络安全事件智能告警方法,其特征在于:超参数优化步骤中,令f(Xi,θ)为遵从分位数回归的长短期记忆网络模型的分位数回归函数,令ρu为遵从分位数回归的长短期记忆网络模型的损失函数;令ρu的下分位数ulo=u/2,令ρu的上分位数uhi=1-u/2;其中u∈(0,1)为显著性水平,则:
4.根据权利要求3所述的一种网络安全事件智能告警方法,其特征在于:训练固化步骤中,首先将从历史安全数据库中读取的网络安全历史数据的N个样本划分为不相交的两个子集,即训练集Γ1和校正集Γ2
基于训练集Γ1,训练上位数的回归模型下分位数的回归模型即:其中Β为分位数回归算子;
基于校正集Γ2,即i∈Γ2,计算遵从分位数回归的长短期记忆网络模型的目标函数E,即
计算总体分位数Q1-u,公式为:Q1-u(E,Γ2)=(1-u)(1+1/|Γ2|);
输出预测区间C(X),公式为:
其中X∈Xi
CN201910752900.4A 2019-08-15 2019-08-15 一种网络安全事件智能告警方法 Active CN110457906B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910752900.4A CN110457906B (zh) 2019-08-15 2019-08-15 一种网络安全事件智能告警方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910752900.4A CN110457906B (zh) 2019-08-15 2019-08-15 一种网络安全事件智能告警方法

Publications (2)

Publication Number Publication Date
CN110457906A true CN110457906A (zh) 2019-11-15
CN110457906B CN110457906B (zh) 2023-03-31

Family

ID=68486641

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910752900.4A Active CN110457906B (zh) 2019-08-15 2019-08-15 一种网络安全事件智能告警方法

Country Status (1)

Country Link
CN (1) CN110457906B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111553482A (zh) * 2020-04-09 2020-08-18 哈尔滨工业大学 机器学习模型超参数的调优方法

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014190286A2 (en) * 2013-05-24 2014-11-27 Sequenom, Inc. Methods and processes for non-invasive assessment of genetic variations
WO2017093953A1 (en) * 2015-12-02 2017-06-08 Tata Consultancy Services Limited Method and system for purchase behavior prediction of customers
CN106973039A (zh) * 2017-02-28 2017-07-21 国家电网公司 一种基于信息融合技术的网络安全态势感知模型训练方法和装置
CN109345408A (zh) * 2018-08-23 2019-02-15 国网江苏省电力有限公司 基于长短期记忆网络的异常数据甄别方法
JP2019036112A (ja) * 2017-08-15 2019-03-07 日本電信電話株式会社 異常音検知装置、異常検知装置、プログラム
CN109492193A (zh) * 2018-12-28 2019-03-19 同济大学 基于深度机器学习模型的异常网络数据生成与预测方法
CN109558975A (zh) * 2018-11-21 2019-04-02 清华大学 一种电力负荷概率密度多种预测结果的集成方法
CN109639450A (zh) * 2018-10-23 2019-04-16 平安壹钱包电子商务有限公司 基于神经网络的故障告警方法、计算机设备及存储介质
WO2019071384A1 (en) * 2017-10-09 2019-04-18 Bl Technologies, Inc. INTELLIGENT SYSTEMS AND METHODS FOR THE TREATMENT AND EVALUATION OF SANITATION DIAGNOSIS, DETECTION AND CONTROL OF ANOMALY IN WASTEWATER TREATMENT FACILITIES OR IN DRINKING WATER FACILITIES
CN109948833A (zh) * 2019-02-25 2019-06-28 华中科技大学 一种基于长短期记忆网络的水电机组劣化趋势预测方法
CN109993368A (zh) * 2019-04-08 2019-07-09 福州大学 基于奇异谱分解和长短期记忆网络的功率预测方法
CN110059867A (zh) * 2019-03-27 2019-07-26 华中科技大学 一种swlstm结合gpr的风速预测方法

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014190286A2 (en) * 2013-05-24 2014-11-27 Sequenom, Inc. Methods and processes for non-invasive assessment of genetic variations
WO2017093953A1 (en) * 2015-12-02 2017-06-08 Tata Consultancy Services Limited Method and system for purchase behavior prediction of customers
CN106973039A (zh) * 2017-02-28 2017-07-21 国家电网公司 一种基于信息融合技术的网络安全态势感知模型训练方法和装置
JP2019036112A (ja) * 2017-08-15 2019-03-07 日本電信電話株式会社 異常音検知装置、異常検知装置、プログラム
WO2019071384A1 (en) * 2017-10-09 2019-04-18 Bl Technologies, Inc. INTELLIGENT SYSTEMS AND METHODS FOR THE TREATMENT AND EVALUATION OF SANITATION DIAGNOSIS, DETECTION AND CONTROL OF ANOMALY IN WASTEWATER TREATMENT FACILITIES OR IN DRINKING WATER FACILITIES
CN109345408A (zh) * 2018-08-23 2019-02-15 国网江苏省电力有限公司 基于长短期记忆网络的异常数据甄别方法
CN109639450A (zh) * 2018-10-23 2019-04-16 平安壹钱包电子商务有限公司 基于神经网络的故障告警方法、计算机设备及存储介质
CN109558975A (zh) * 2018-11-21 2019-04-02 清华大学 一种电力负荷概率密度多种预测结果的集成方法
CN109492193A (zh) * 2018-12-28 2019-03-19 同济大学 基于深度机器学习模型的异常网络数据生成与预测方法
CN109948833A (zh) * 2019-02-25 2019-06-28 华中科技大学 一种基于长短期记忆网络的水电机组劣化趋势预测方法
CN110059867A (zh) * 2019-03-27 2019-07-26 华中科技大学 一种swlstm结合gpr的风速预测方法
CN109993368A (zh) * 2019-04-08 2019-07-09 福州大学 基于奇异谱分解和长短期记忆网络的功率预测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
李彬;彭曙蓉;彭君哲;黄士峻;郑国栋;: "基于深度学习分位数回归模型的风电功率概率密度预测" *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111553482A (zh) * 2020-04-09 2020-08-18 哈尔滨工业大学 机器学习模型超参数的调优方法
CN111553482B (zh) * 2020-04-09 2023-08-08 哈尔滨工业大学 机器学习模型超参数的调优方法

Also Published As

Publication number Publication date
CN110457906B (zh) 2023-03-31

Similar Documents

Publication Publication Date Title
US20200391422A1 (en) Method and device for visualizing or evaluating a process state
CN101650290B (zh) 橡胶门尼粘度混合智能软测量方法
WO2021007871A1 (zh) 一种基于云边协同的氧化铝生产运行优化系统及方法
CN110503251A (zh) 一种基于Stacking算法的非节假日负荷预测方法
CN105388876B (zh) 获得基于班组的间歇型化工生产工艺符合度的方法及装置
CN109507961B (zh) 一种半导体生产线动态负荷均衡投料控制方法
CN109597315A (zh) 一种机械设备健康退化状态辨识方法、设备及系统
CN106054840A (zh) 一种全流程产品质量在线管控系统
CN107145981A (zh) 一种电厂锅炉排烟温度的寻优方法及装置
WO2021007845A1 (zh) 一种氧化铝生产指标的云-边协同预报系统及方法
CN111753875A (zh) 一种电力信息系统运行趋势分析方法、装置及存储介质
CN114066262A (zh) 一种电网调度后评估异常指标溯因推理方法、系统、装置及存储介质
CN101285816A (zh) 铜锍吹炼的过程参数软测量仪表及其软测量方法
CN110457906A (zh) 一种网络安全事件智能告警方法
CN109918280B (zh) 一种伺服系统的健康管理方法和装置
CN116703254B (zh) 模具机械零部件生产信息管理系统
CN105930936A (zh) 一种生产流通过程中食品所含微生物的生长预测方法
CN115481815A (zh) 基于神经网络的火电厂负荷分配系统及方法
CN109032097A (zh) 一种冷轧带钢镀锌线过程控制方法
CN115310561A (zh) 一种基于集成即时学习的电磁阀故障监测方法
CN112668899B (zh) 一种基于人工智能的合同风险识别方法及装置
CN113049793A (zh) 一种Abs复合材料的生产检测验证方法和装置
CN111597499B (zh) 一种工业设备故障维修方案生成方法及系统
CN113330469A (zh) 用于过程技术设备的技术功能单元的模块化系统的优化方法
CN117076260B (zh) 一种参数及设备异常检测方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant