CN110457906B - 一种网络安全事件智能告警方法 - Google Patents

一种网络安全事件智能告警方法 Download PDF

Info

Publication number
CN110457906B
CN110457906B CN201910752900.4A CN201910752900A CN110457906B CN 110457906 B CN110457906 B CN 110457906B CN 201910752900 A CN201910752900 A CN 201910752900A CN 110457906 B CN110457906 B CN 110457906B
Authority
CN
China
Prior art keywords
long
term memory
quantile
network security
intelligent alarm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910752900.4A
Other languages
English (en)
Other versions
CN110457906A (zh
Inventor
葛朝强
葛敏辉
翟海保
屈刚
张亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Venustech Cybervision Co ltd
Sgcc East China Branch
Original Assignee
Beijing Venustech Cybervision Co ltd
Sgcc East China Branch
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Venustech Cybervision Co ltd, Sgcc East China Branch filed Critical Beijing Venustech Cybervision Co ltd
Priority to CN201910752900.4A priority Critical patent/CN110457906B/zh
Publication of CN110457906A publication Critical patent/CN110457906A/zh
Application granted granted Critical
Publication of CN110457906B publication Critical patent/CN110457906B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Mathematical Physics (AREA)
  • Medical Informatics (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Artificial Intelligence (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种网络安全事件智能告警方法,包括下列步骤:超参数优化步骤:基于网络安全历史数据,对于遵从分位数回归的长短期记忆网络模型的模型参数θ进行超参数优化,得到遵从分位数回归的长短期记忆网络模型的优选模型参数
Figure DDA0002167795650000011
训练固化步骤:基于遵从分位数回归的长短期记忆网络模型的优选模型参数
Figure DDA0002167795650000012
离线训练并固化遵从分位数回归的长短期记忆网络模型;智能告警区间计算步骤:基于网络安全在线数据,通过遵从分位数回归的长短期记忆网络模型计算网络安全的智能告警区间;区间比较步骤:将网络安全在线数据与智能告警区间进行比较,如果网络安全在线数据超出智能告警区间则告警。

Description

一种网络安全事件智能告警方法
技术领域
本发明涉及网络安全领域的一种网络安全事件智能告警方法。
背景技术
当前网络安全监控平台的安全告警规则中存在以下问题,比如安全告警规则中触发告警的阀值都是静态设置的,没有在复杂的网络环境中细化更合理的阀值动态设置,存在准确性不高的缺点,人工调整阈值参数工作量大,依赖人工经验,对于网络安全事件响应的智能化程度不够,无法适应日益严峻的网络安全形势。
发明内容
本发明的目的是为了克服现有技术的不足,提供一种网络安全事件智能告警方法,其可以根据网络安全历史数据,通过遵从分位数回归的长短期记忆网络的机器学习,实现告警阈值的全自动设置。
实现上述目的的一种技术方案是:一种网络安全事件智能告警方法,包括下列步骤:
超参数优化步骤:基于网络安全历史数据,对于遵从分位数回归的长短期记忆网络模型的模型参数θ进行超参数优化,得到遵从分位数回归的长短期记忆网络模型的优选模型参数
Figure BDA0002167795630000011
训练固化步骤:基于遵从分位数回归的长短期记忆网络模型的优选模型参数
Figure BDA0002167795630000012
离线训练并固化遵从分位数回归的长短期记忆网络模型;
智能告警区间计算步骤:基于网络安全在线数据,通过遵从分位数回归的长短期记忆网络模型计算网络安全的智能告警区间;
区间比较步骤:将网络安全在线数据与智能告警区间进行比较,如果网络安全在线数据超出智能告警区间则告警。
进一步的,所述网络安全事件智能告警方法还包括告警分类步骤。
进一步的,超参数优化步骤中,令f(Xi,θ)为遵从分位数回归的长短期记忆网络模型的分位数回归函数,令ρu为遵从分位数回归的长短期记忆网络模型的损失函数;令ρu的下分位数ulo=u/2,令ρu的上分位数uhi=1-u/2;其中u∈(0,1)为显著性水平,则:
Figure BDA0002167795630000021
再进一步的,训练固化步骤中,首先将从历史安全数据库中读取的网络安全历史数据的N个样本
Figure BDA0002167795630000022
划分为不相交的两个子集,即训练集Γ1和校正集Γ2;/>
基于训练集Γ1,训练上位数的回归模型
Figure BDA0002167795630000023
下分位数的回归模型/>
Figure BDA0002167795630000024
即:
Figure BDA0002167795630000025
其中Β为分位数回归算子;
基于校正集Γ2,即i∈Γ2,计算遵从分位数回归的长短期记忆网络模型的目标函数E,即
Figure BDA0002167795630000026
计算总体分位数Q1-u,公式为:Q1-u(E,Γ2)=(1-u)(1+1/|Γ2|);
输出预测区间C(X),公式为:
Figure BDA0002167795630000027
其中X∈Xi
采用了本发明的一种网络安全事件智能告警方法的技术方案,包括下列步骤:超参数优化步骤:基于网络安全历史数据,对于遵从分位数回归的长短期记忆网络模型的模型参数θ进行超参数优化,得到遵从分位数回归的长短期记忆网络模型的优选模型参数
Figure BDA0002167795630000028
训练固化步骤:基于遵从分位数回归的长短期记忆网络模型的优选模型参数/>
Figure BDA0002167795630000029
离线训练并固化遵从分位数回归的长短期记忆网络模型;智能告警区间计算步骤:基于网络安全在线数据,通过遵从分位数回归的长短期记忆网络模型计算网络安全的智能告警区间;区间比较步骤:将网络安全在线数据与智能告警区间进行比较,如果网络安全在线数据超出智能告警区间则告警。其技术效果是:其可以根据网络安全历史数据,通过遵从分位数回归的长短期记忆网络的机器学习,实现告警阈值的全自动设置。
附图说明
图1为本发明的一种网络安全事件智能告警方法的示意图。
具体实施方式
请参阅图1,本发明的发明人为了能更好地对本发明的技术方案进行理解,下面通过具体地实施例,并结合附图进行详细地说明:
请参阅图1,本发明为了提高网络安全监控平台阈值设置的准确度和智能性,基于遵从分位数回归(Conformalized Quantile Regression COR)的长短期记忆网络(longshort-term memory LSTM)模型,提出了本发明的一种网络安全事件智能告警方法。
本发明的一种网络安全事件智能告警方法,包括下列步骤:
离线步骤:
超参数优化步骤:基于网络安全历史数据,对于遵从分位数回归的长短期记忆网络模型的模型参数进行超参数优化。
从历史安全数据库中读取网络安全历史数据的N个样本
Figure BDA0002167795630000031
Xi和Yi均为向量,对长短期记忆网络模型做分位数回归,分位数回归的优化目标函数是使加权误差绝对值之和的平均值最小化。令θ是遵从分位数回归的长短期记忆网络模型的模型参数,令f(Xi,θ)为遵从分位数回归的长短期记忆网络的分位数回归函数,令ρu为遵从分位数回归的长短期记忆网络模型的损失函数。令ρu的下分位数ulo=u/2,令ρu的上分位数uhi=1-u/2。其中u∈(0,1)为显著性水平。/>
Figure BDA0002167795630000032
其中
Figure BDA0002167795630000041
为遵从分位数回归的长短期记忆网络的优选模型参数。
训练固化步骤:基于遵从分位数回归的长短期记忆网络模型的优选模型参数,训练并固化遵从分位数回归的长短期记忆网络模型。
首先将从历史安全数据库中读取的网络安全历史数据的N个样本
Figure BDA0002167795630000042
划分为不相交的两个子集,即训练集Γ1和校正集Γ2,通过校正集Γ2的覆盖宽度指标来计算最终的判别预测区间。
基于训练集Γ1,训练上位数的回归模型
Figure BDA0002167795630000043
下分位数的回归模型/>
Figure BDA0002167795630000044
即:
Figure BDA0002167795630000045
其中Β为分位数回归算子。
基于校正集Γ2,即i∈Γ2,计算遵从分位数回归的长短期记忆网络模型的目标函数E,即
Figure BDA0002167795630000046
计算总体分位数Q1-u,公式为:Q1-u(E,Γ2)=(1-u)(1+1/|Γ2|);
输出预测区间C(X),公式为:
Figure BDA0002167795630000047
其中X∈Xi
在线计算步骤:
动态阈值计算步骤:基于网络安全在线数据,通过基于遵从分位数回归的长短期记忆网络模型计算网络安全数据的智能告警区间。
区间比较步骤:将网络安全在线数据与智能告警区间进行比较,如果网络安全在线数据超出智能告警区间则告警。
告警分类步骤:根据网络安全在线数据与智能告警区间之间的对应关系,对告警事件进行分级分类,产生网络安全事件智能告警。
本发明的一种网络安全事件智能告警方法,其可以根据网络安全历史数据,通过遵从分位数回归的长短期记忆网络的机器学习,实现告警阈值的全自动设置。
本技术领域中的普通技术人员应当认识到,以上的实施例仅是用来说明本发明,而并非用作为对本发明的限定,只要在本发明的实质精神范围内,对以上所述实施例的变化、变型都将落在本发明的权利要求书范围内。

Claims (2)

1.一种网络安全事件智能告警方法,包括下列步骤:
超参数优化步骤:基于网络安全历史数据,对于遵从分位数回归的长短期记忆网络模型的模型参数θ进行超参数优化,得到遵从分位数回归的长短期记忆网络模型的优选模型参数
Figure FDA0004078900890000011
训练固化步骤:基于遵从分位数回归的长短期记忆网络模型的优选模型参数
Figure FDA0004078900890000012
离线训练并固化遵从分位数回归的长短期记忆网络模型;
智能告警区间计算步骤:基于网络安全在线数据,通过遵从分位数回归的长短期记忆网络模型计算网络安全的智能告警区间;
区间比较步骤:将网络安全在线数据与智能告警区间进行比较,如果网络安全在线数据超出智能告警区间则告警,
超参数优化步骤中,令f(Xi,θ)为遵从分位数回归的长短期记忆网络模型的分位数回归函数,令ρu为遵从分位数回归的长短期记忆网络模型的损失函数;令ρu的下分位数ulo=u/2,令ρu的上分位数uhi=1-u/2;其中u∈(0,1)为显著性水平,则:
Figure FDA0004078900890000013
训练固化步骤中,首先将从历史安全数据库中读取的网络安全历史数据的N个样本
Figure FDA0004078900890000014
划分为不相交的两个子集,即训练集Γ1和校正集Γ2
基于训练集Γ1,训练上位数的回归模型
Figure FDA0004078900890000015
下分位数的回归模型/>
Figure FDA0004078900890000016
即:
Figure FDA0004078900890000017
其中B为分位数回归算子;
基于校正集Γ2,即i∈Γ2,计算遵从分位数回归的长短期记忆网络模型的目标函数E,即
Figure FDA0004078900890000018
计算总体分位数Q1-u,公式为:Q1-u(E,Γ2)=(1-u)(1+1/|Γ2|);
输出预测区间C(X),公式为:
Figure FDA0004078900890000021
其中X∈Xi
2.根据权利要求1所述的一种网络安全事件智能告警方法,其特征在于:其还包括告警分类步骤。
CN201910752900.4A 2019-08-15 2019-08-15 一种网络安全事件智能告警方法 Active CN110457906B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910752900.4A CN110457906B (zh) 2019-08-15 2019-08-15 一种网络安全事件智能告警方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910752900.4A CN110457906B (zh) 2019-08-15 2019-08-15 一种网络安全事件智能告警方法

Publications (2)

Publication Number Publication Date
CN110457906A CN110457906A (zh) 2019-11-15
CN110457906B true CN110457906B (zh) 2023-03-31

Family

ID=68486641

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910752900.4A Active CN110457906B (zh) 2019-08-15 2019-08-15 一种网络安全事件智能告警方法

Country Status (1)

Country Link
CN (1) CN110457906B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111553482B (zh) * 2020-04-09 2023-08-08 哈尔滨工业大学 机器学习模型超参数的调优方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014190286A2 (en) * 2013-05-24 2014-11-27 Sequenom, Inc. Methods and processes for non-invasive assessment of genetic variations
CN109345408A (zh) * 2018-08-23 2019-02-15 国网江苏省电力有限公司 基于长短期记忆网络的异常数据甄别方法
JP2019036112A (ja) * 2017-08-15 2019-03-07 日本電信電話株式会社 異常音検知装置、異常検知装置、プログラム
CN109558975A (zh) * 2018-11-21 2019-04-02 清华大学 一种电力负荷概率密度多种预测结果的集成方法
CN109948833A (zh) * 2019-02-25 2019-06-28 华中科技大学 一种基于长短期记忆网络的水电机组劣化趋势预测方法
CN109993368A (zh) * 2019-04-08 2019-07-09 福州大学 基于奇异谱分解和长短期记忆网络的功率预测方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180365715A1 (en) * 2015-12-02 2018-12-20 Tata Consultancy Services Limited Method and system for purchase behavior prediction of customers
CN106973039A (zh) * 2017-02-28 2017-07-21 国家电网公司 一种基于信息融合技术的网络安全态势感知模型训练方法和装置
BR112019017301A2 (pt) * 2017-10-09 2020-04-22 Bl Technologies, Inc. métodos e sistemas inteligentes para diagnóstico de saúde de uma estação de tratamento de água, detecção e controle de anomalia
CN109639450B (zh) * 2018-10-23 2023-06-23 平安壹钱包电子商务有限公司 基于神经网络的故障告警方法、系统、计算机设备及介质
CN109492193B (zh) * 2018-12-28 2020-11-27 同济大学 基于深度机器学习模型的异常网络数据生成与预测方法
CN110059867B (zh) * 2019-03-27 2021-01-19 华中科技大学 一种swlstm结合gpr的风速预测方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014190286A2 (en) * 2013-05-24 2014-11-27 Sequenom, Inc. Methods and processes for non-invasive assessment of genetic variations
JP2019036112A (ja) * 2017-08-15 2019-03-07 日本電信電話株式会社 異常音検知装置、異常検知装置、プログラム
CN109345408A (zh) * 2018-08-23 2019-02-15 国网江苏省电力有限公司 基于长短期记忆网络的异常数据甄别方法
CN109558975A (zh) * 2018-11-21 2019-04-02 清华大学 一种电力负荷概率密度多种预测结果的集成方法
CN109948833A (zh) * 2019-02-25 2019-06-28 华中科技大学 一种基于长短期记忆网络的水电机组劣化趋势预测方法
CN109993368A (zh) * 2019-04-08 2019-07-09 福州大学 基于奇异谱分解和长短期记忆网络的功率预测方法

Also Published As

Publication number Publication date
CN110457906A (zh) 2019-11-15

Similar Documents

Publication Publication Date Title
WO2019080367A1 (zh) 一种机械设备健康状态评估方法
CN110727665B (zh) 物联网设备上报数据质量分析方法及系统
CN109462521A (zh) 一种适用于源网荷互动工控系统的网络流量异常检测方法
EP3296822B1 (en) Model-plant mismatch detection using model parameter data clustering for paper machines or other systems
CN112734128A (zh) 一种基于优化rbf的7日电力负荷峰值预测方法
CN114978956B (zh) 智慧城市网络设备性能异常突变点检测方法及装置
CN112629905A (zh) 基于深度学习的设备异常检测方法、系统及计算机介质
CN111696097A (zh) 一种电缆在线监测方法和装置
CN110457906B (zh) 一种网络安全事件智能告警方法
CN116852665A (zh) 一种基于混合模型的注塑工艺参数智能调节方法
CN115384017A (zh) 注塑生产调试系统及方法
CN113268929B (zh) 短期负荷区间预测方法及装置
CN117574264A (zh) 一种基于知识约束神经网络的变压器故障诊断方法及系统
CN108537249A (zh) 一种密度峰值聚类的工业过程数据聚类方法
CN112613233A (zh) 基于单分类支持向量机模型发现环境监测异常数据的算法
US20230034061A1 (en) Method for managing proper operation of base station and system applying the method
CN114819628B (zh) 一种可视化工程监理系统
CN113688875B (zh) 工业系统故障识别方法及装置
CN106814608B (zh) 基于后验概率分布的预测控制自适应滤波算法
CN112651444B (zh) 一种基于自学习的非平稳过程异常检测方法
CN112561153A (zh) 一种基于模型集成的景区人群聚集预测方法
CN116956197B (zh) 基于深度学习的能源设施故障预测方法、装置及电子设备
CN117475245B (zh) 一种用于制备阻燃聚烯烃绝缘料的智能化生产方法及系统
CN115983506A (zh) 一种水质预警方法、系统及可读存储介质
CN117932501B (zh) 一种电能表运行状态管理方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant