CN114143036A - 告警方法、装置、设备及计算机存储介质 - Google Patents

告警方法、装置、设备及计算机存储介质 Download PDF

Info

Publication number
CN114143036A
CN114143036A CN202111300732.9A CN202111300732A CN114143036A CN 114143036 A CN114143036 A CN 114143036A CN 202111300732 A CN202111300732 A CN 202111300732A CN 114143036 A CN114143036 A CN 114143036A
Authority
CN
China
Prior art keywords
historical
log
threat
cyber
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111300732.9A
Other languages
English (en)
Inventor
杨平
李奇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan Tianyun Software Technology Co ltd
Original Assignee
Hunan Tianyun Software Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hunan Tianyun Software Technology Co ltd filed Critical Hunan Tianyun Software Technology Co ltd
Priority to CN202111300732.9A priority Critical patent/CN114143036A/zh
Publication of CN114143036A publication Critical patent/CN114143036A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0639Performance analysis of employees; Performance analysis of enterprise or organisation operations
    • G06Q10/06393Score-carding, benchmarking or key performance indicator [KPI] analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management

Landscapes

  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Engineering & Computer Science (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Strategic Management (AREA)
  • Economics (AREA)
  • Operations Research (AREA)
  • Marketing (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Development Economics (AREA)
  • Educational Administration (AREA)
  • Data Mining & Analysis (AREA)
  • Game Theory and Decision Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例提供了一种告警方法、装置、设备及计算机存储介质。能够获取第一网络威胁日志,将第一网络威胁日志进行预处理,然后将预处理之后的第一网络威胁日志输入训练后的分类模型中,得到多种类别的目标网络威胁日志,然后根据不同的目标网络威胁日志的类别来向用户发出警告。由于是通过训练模型自动完成的网络威胁日志的分类,避免了人工对网络威胁日志进行分析和处理。提高了网络威胁日志分类的效率,进一步的,能够对网络风险进行及时的告警,保障了用户的网络安全。

Description

告警方法、装置、设备及计算机存储介质
技术领域
本申请属于网络安全领域,尤其涉及一种告警方法、装置、设备及计算机存储介质。
背景技术
当前社会已经进入了数字化、智能化时代。在数字化、智能化时代中,网络也变得越加普及。但是在日常使用网络的过程中,经常会发生网络攻击。网络攻击的存在给网络用户的财产安全带来了威胁。当前市场上存在着对网络进行监控的平台。但是这些网络监控平台由于架构或算力等原因,在面对大量的网络威胁数据时并不能够及时的告警。
发明内容
本申请实施例提供一种告警方法、装置、设备及计算机存储介质,能够对网络风险进行及时的告警,保护了网络安全。
第一方面,本申请实施例提供一种告警方法,方法包括:
获取第一网络威胁日志;
将第一网络威胁日志进行预处理,得到满足预设条件的第一网络威胁日志;
将满足预设条件的第一网络威胁日志输入至训练后的分类模型中,得到多种类别的目标网络威胁日志;其中,分类模型是基于多组训练样本训练得到,每组训练样本包括:历史第一网络威胁日志和历史第一网络威胁日志对应的历史分类标签;
根据多种类别的目标网络威胁日志向用户的客户端发送告警信息。
在一种可选地实施方式中,将第一威胁日志进行预处理,具体包括以下各项中的至少一项:
将第一网络威胁日志中缺失的字段进行补充;
将第一网络威胁日志中的空格进行删除;
将第一网络威胁日志中的异常的数据数量级进行统一;
将第一网络威胁日志中重复的数据进行删除。
在一种可选地实施方式中,在获取第一网络威胁日志之前,方法还包括:
获取至少一个历史第一网络威胁日志,以及与各历史第一网络威胁日志对应的历史分类标签;
分别根据每个历史第一网络威胁日志,以及每个历史第一网络威胁日志对应的历史分类标签构建训练样本;
根据多个训练样本,训练分类模型,直至满足训练停止条件,得到训练后的分类模型。
在一种可选地实施方式中,根据多个训练样本,训练分类模型,直至满足训练停止条件,得到训练后的分类模型,包括:
对于每组训练样本,分别执行如下步骤:
把训练样本输入至预设的分类模型中,得到历史第一网络威胁日志的历史预测分类结果;
根据各个训练样本的历史预测分类结果和历史分类标签,确定分类模型的最优决策函数值;
在最优决策函数值不满足训练停止条件的情况下,调整分类模型的模型参数,并利用训练样本训练参数调整后的分类模型,直至满足训练停止条件,得到训练后的分类模型。
在一种可选地实施方式中,在获取至少一个历史第一网络威胁日志,以及与各历史第一网络威胁日志对应的历史分类标签之后,方法还包括:
对历史第一网络威胁日志进行数据清洗,得到历史第二网络威胁日志;
分别根据每个历史第一网络威胁日志,以及每个历史第一网络威胁日志对应的历史分类标签构建训练样本,包括:
分别根据每个历史第二网络威胁日志,以及每个历史第二网络威胁日志对应的历史分类标签构建训练样本。
在一种可选地实施方式中,对历史第一网络威胁日志进行数据清洗,具体包括以下各项中的至少一项:
将历史第一网络威胁日志中缺失的字段进行补充;
将历史第一网络威胁日志中的空格进行删除;
将历史第一网络威胁日志中的异常的数据数量级进行统一;
将历史第一网络威胁日志中重复的数据进行删除。
在一种可选地实施方式中,在获取至少一个历史第一网络威胁日志,以及与各历史第一网络威胁日志对应的历史分类标签之后,方法还包括:
采用不同的预设编码规则对不同类别的历史分类标签进行编码,得到目标历史分类标签;
分别根据每个历史第一网络威胁日志,以及每个历史第一网络威胁日志对应的历史分类标签构建训练样本,包括:
分别根据每个历史第一网络威胁日志,以及每个历史第一网络威胁日志对应的目标历史分类标签构建训练样本。
在一种可选地实施方式中,在获取至少一个历史第一网络威胁日志之后,在获取与各历史第一网络威胁日志对应的历史分类标签之前,方法还包括:
响应于对历史第一网络威胁日志标注操作,得到与各历史第一网络威胁日志对应的历史分类标签。
在一种可选地实施方式中,在根据各个训练样本的历史预测分类结果和历史分类标签,确定分类模型的最优决策函数值之前,方法还包括:
基于交叉验证算法与训练样本在径向基核函数与高斯核函数选取核函数;
根据拉格朗日松弛算法获取选取的核函数的最优决策函数。
在一种可选地实施方式中,方法还包括:
获取网络流量日志;
将网络威胁日志进行预处理,得到满足预设条件的网络流量日志;
在满足预设条件的网络流量日志中的流量达到预设阈值的情况下,向用户的客户端发送告警信息。
第二方面,本申请实施例提供了一种告警装置,装置包括:
获取模块,用于获取第一网络威胁日志;
预处理模块,用于将第一网络威胁日志进行预处理,得到满足预设条件的第一网络威胁日志;
输入模块,用于将满足预设条件的第一网络威胁日志输入至训练后的分类模型中,得到多种类别的目标网络威胁日志;其中,分类模型是基于多组训练样本训练得到,每组训练样本包括:历史第一网络威胁日志和历史第一网络威胁日志对应的历史分类标签;
发送模块,用于根据多种类别的目标网络威胁日志向用户的客户端发送告警信息。
第三方面,本申请实施例提供了一种告警设备,设备包括:处理器以及存储有计算机程序指令的存储器;处理器执行计算机程序指令时实现如第一方面或者第一方面的任一可能实现方式中的方法。
第四方面,本申请实施例提供了一种计算机存储介质,该计算机存储介质上存储有计算机程序指令,计算机程序指令被处理器执行时实现如第一方面或者第一方面的任一可能实现方式中的方法。
与现有技术相比,本申请至少具有以下有益效果::
本申请实施例的告警方法、装置、设备及计算机存储介质,能够获取第一网络威胁日志,将第一网络威胁日志进行预处理,然后将预处理之后的第一网络威胁日志输入训练后的分类模型中,得到多种类别的目标网络威胁日志,然后根据不同的目标网络威胁日志的类别来向用户发出警告。由于是通过训练模型自动完成的网络威胁日志的分类,避免了人工对网络威胁日志进行分析和处理。提高了网络威胁日志分类的效率,进一步的,能够对网络风险进行及时的告警,保障了用户的网络安全。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单的介绍,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种分类模型的训练方法的流程示意图;
图2是本申请实施例提供的一种告警系统的结构示意图;
图3是本申请实施例提供的一种告警方法的流程示意图;
图4是本申请实施例提供的另一种告警方法的流程示意图;
图5是本申请实施例提供的一种告警装置的结构示意图;
图6是本申请实施例提供的一种告警设备的结构示意图。
具体实施方式
下面将详细描述本申请的各个方面的特征和示例性实施例,为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及具体实施例,对本申请进行进一步详细描述。应理解,此处所描述的具体实施例仅意在解释本申请,而不是限定本申请。对于本领域技术人员来说,本申请可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本申请的示例来提供对本申请更好的理解。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
为了解决现有技术问题,本申请实施例提供了一种告警方法、装置、设备及计算机存储介质。下面首先对本申请实施例所提供的告警方法进行介绍。
为了便于理解,本申请首先对本申请实施例中的分类模型的训练方法进行详细阐述。
图1是本申请实施例提供的一种分类模型的训练方法100的流程示意图。如图1所示,本申请实施例提供的一种分类模型的训练方法100可以包括:
S110、获取至少一个历史第一网络威胁日志,以及与各历史第一网络威胁日志对应的历史分类标签。
S120、分别根据每个历史第一网络威胁日志,以及每个历史第一网络威胁日志对应的历史分类标签构建训练样本。
S130、根据多个训练样本,训练分类模型,直至满足训练停止条件,得到训练后的分类模型。
上述各步骤的具体实现方式将在下文中进行详细描述。
本申请实施例中,通过获取历史第一网络威胁日志以及各历史第一网络威胁日志对应的历史分类标签。然后通过获取的上述数据构建训练样本,然后将训练样本输入到分类模型中,以此来对训练模型进行训练。由此能够得到训练后的分类模型,使得分类模型的训练更加高效和准确。
下面对分类模型的训练过程进行详细描述。
首先介绍S110获取至少一个历史第一网络威胁日志,以及与各历史第一网络威胁日志对应的历史分类标签。
其中,历史第一网络威胁日志可以包括已发生的时间段内的对网络安全构成威胁的访问的记录。示例性的,历史第一网络威胁日志可以包括以发生时间段内的入侵、僵尸、木马或蠕虫中的至少一种的记录。
历史分类标签可以包括历史第一网络威胁日志对应的分类标签,示例性的,告警装置可以根据用户的需求,向用户的客户端发送对应的历史第一网络威胁日志。用户将获取的第一网络威胁日志执行打标签操作。然后告警装置接收由用户的客户端发送的历史分类标签。示例性的用户的需求可以包括第一网络威胁日志对应的时间或第一网络威胁日志的标识。
作为一种示例,S110具体由告警系统来实现,图2示出了一种告警系统的结构示意图,如图2所示,系统可以包括:告警装置500接收由HDFS分布式文件系统201发送的历史第一网络威胁日志。HDFS分布式文件系统201中的历史第一网络威胁日志可以包括由运维系统202产生的,然后由大数据采集组件203利用组件中的data flow数据流抽象过程抽取之后发送到收集器204中,然后由收集器204发送至HDFS分布式文件系统201。
示例性的,大数据采集组件可以包括flume。
通过将历史第一网络威胁日志存储至HDFS分布式文件系统201中,能够使历史第一网络威胁日志不会被污染,并且增大了数据的存储量。
作为一种示例,在HDFS分布式文件系统201中历史第一网络威胁日志可以包括按照不同用户进行分区进行存储。并且在HDFS分布式文件系统201中历史第一网络威胁日志可以包括在Hive外部表中进行存储的文件。
在Hive的外部表中存储文件能够在用户使用Hive进行文件查询时,更加快速的查询到用户需要的文件。并且,在后续的文件删除中,通过建立外部表能够只对表结构进行删除,而不会删除表中的数据。
然后介绍步骤S120、分别根据每个历史第一网络威胁日志,以及每个历史第一网络威胁日志对应的历史分类标签构建训练样本。
其中,训练样本可以包括用于对分类模型进行训练的样本。
最后介绍步骤S130、根据多个训练样本,训练分类模型,直至满足训练停止条件,得到训练后的分类模型。
其中训练停止条件可以包括预先的设置的分类模型训练停止的条件。
作为一种示例,训练停止条件可以包括分类模型的最优决策函数值小于某个阈值。还可以包括对分类模型进行训练的迭代次数到达某一个数。具体的训练停止条件可以由用户进行选取,此处不作具体限定。
在一些实施例中,S130具体可以包括:
对于每组训练样本,分别执行如下步骤:
把训练样本输入至预设的分类模型中,得到历史第一网络威胁日志的历史预测分类结果;
根据各个训练样本的历史预测分类结果和历史分类标签,确定分类模型的最优决策函数值;
在最优决策函数值不满足训练停止条件的情况下,调整分类模型的模型参数,并利用训练样本训练参数调整后的分类模型,直至满足训练停止条件,得到训练后的分类模型。
其中,历史预测分类结果可以包括将未标注的历史第一网络威胁日志输入到预设分分类模型之后,预测出的上述历史第一网络威胁日志对应的标签。
作为一种示例,在告警装置将训练样本输入预设的分类模型之后,得到训练样本中的历史第一网络威胁日志对应的历史预测分类结果。告警装置可以基于历史预测分类结果和历史分类标签确定最优决策函数值,在得到的最优决策函数值不满足训练停止条件的情况下,调整分类模型的参数,并利用训练样本的训练参数调整后的分类模型,直至满足训练停止条件。如此可以得到训练后的分类模型。以便利用上述训练后的分类模型对第一网络威胁日志进行处理,得到与第一网络威胁日志对应的多种类别的目标网络威胁日志。
在一些实施例中,在获取至少一个历史第一网络威胁日志之后,在获取与各历史第一网络威胁日志对应的历史分类标签之前,方法还包括:
响应于对历史第一网络威胁日志标注操作,得到与各历史第一网络威胁日志对应的历史分类标签。
其中,对历史第一网络威胁日志进行标注的操作可以是用户完成的操作。
作为一种示例,在分类装置获取到至少一个历史第一网络威胁日志之后可以基于用户的需求,将用户需求对应的历史第一网络威胁日志发送至用户的客户端。用户的客户端在接收到历史第一网络威胁日志之后,基于用户对客户端的操作,得到历史第一网络威胁日志对应的历史分类标签。
示例性的,用户的需求可以包括历史第一网络威胁日志对应的时间或历史第一网络威胁日志的标识。
本申请实施例中,通过获取由用户完成的历史第一网络威胁日志的标注,得到历史分类标签,能够使得在进行分类模型的训练时,使得由历史预测分类结果与历史分类标签得到的最优决策函数值更加准确,进一步的,提高了模型训练的准确度。
在一些实施例中,在根据各个训练样本的历史预测分类结果和历史分类标签,确定分类模型的最优决策函数值之前,方法还可以包括:
基于交叉验证算法与训练样本在径向基核函数与高斯核函数选取核函数;
根据拉格朗日松弛算法获取选取的核函数的最优决策函数。
其中,径向基核函数和高斯核函数都可以作为核函数。
作为一种示例,基于交叉验证算法与训练样本在径向基核函数与高斯核函数选取核函数,具体可以包括:
将训练样本分别输入在径向基核函数与高斯核函数,然后将得到的训练结果使用宏查准率、宏查全率、宏F1值中的至少一种进行模型评估。经过多次的k折交叉验证之后,得出平均的宏指标作为最终径向基核函数与高斯核函数的预测精准度。然后选取预测精准度高的训练结果对应的核函数作为最终的核函数。
通过格朗日松弛算法获取选取的核函数的最优决策函数为本领域较常规方法,此处不做多余的阐述。
本申请实施例中,通过使用交叉验证算法对径向基核函数与高斯核函数进行选取,得到预测准确度较高的核函数,能够使得分类模型的训练过程更加准确。
在一些实施例中,在S110获取至少一个历史第一网络威胁日志,以及与各历史第一网络威胁日志对应的历史分类标签之后,方法还可包括:
对历史第一网络威胁日志进行数据清洗,得到历史第二网络威胁日志;
其中,历史第二网络威胁日志可以包括经过数据清洗后的历史第一网络威胁日志。
作为一种示例,对历史第一网络威胁日志进行数据清洗,具体包括以下各项中的至少一项:
将历史第一网络威胁日志中缺失的字段进行补充;
将历史第一网络威胁日志中的空格进行删除;
将历史第一网络威胁日志中的异常的数据数量级进行统一;
将历史第一网络威胁日志中重复的数据进行删除。
其中,对异常的数据数量级进行统一具体可以包括:对数据进行剪切或者对数变换使得不同数量级的历史第一网络威胁日志数量级统一。
作为一种示例,对历史第一网络威胁日志中缺失的字段进行补充、空格进行删除和重复的数据进行删除可以采用正则表达式与python脚本结合的方式完成。
本申请实施例中,通过对历史第一网络威胁日志进行数据清洗,能够使得清洗后得到的第二网络威胁日志能够满足分类模型输入数据的要求。避免历史第一网络威胁日志中的重复数据对分类模型的训练过程产生不良影响。提高了分类模型训练的准确率和训练的效率。
在一些实施例中,S120分别根据每个历史第一网络威胁日志,以及每个历史第一网络威胁日志对应的历史分类标签构建训练样本,具体可以包括:分别根据每个历史第二网络威胁日志,以及每个历史第二网络威胁日志对应的历史分类标签构建训练样本。
在一些实施例中,在S110在获取至少一个历史第一网络威胁日志,以及与各历史第一网络威胁日志对应的历史分类标签之后,方法还可以包括:
采用不同的预设编码规则对不同类别的历史分类标签进行编码,得到目标历史分类标签。
其中,预设编码规则可以包括将历史分类标签转换为适用于计算机处理的编码。
作为一种示例,预设编码规则可以包括采用label encoding的编码方式,将标注过的训练数据集当中的标签中文字段,映射为适于计算机处理的编码等级。对历史分类标签为“应用场景”和“网络协议”采用One-hot encoding编码方式,此处对历史分类标签的预设编码规则可以根据用户的需求进行自定义设定,此处不做具限定。
作为一种示例,若“应用场景”编码后的特征空间较大,可以利用PCA主成分分析技术提取主要载荷,进一步的,压缩特征空间,对多维度数据进行压缩。
在一些实施例中,S120分别根据每个历史第一网络威胁日志,以及每个历史第一网络威胁日志对应的历史分类标签构建训练样本,具体可以包括:分别根据每个历史第一网络威胁日志,以及每个历史第一网络威胁日志对应的目标历史分类标签构建训练样本。
本申请实施例中,通过对不同类别的历史分类标签进行编码,能够使得编码后的多种类别的历史分类标签更容易被分类模型所识别。提高了分类模型训练的效率。
下面结合图3对本申请实施例提供的告警方法进行详细说明。其中,
图3示出了本申请一个实施例提供的一种告警方法300的流程示意图。如图3所示,该方法300可以包括以下步骤:
S310、获取第一网络威胁日志。
S320、将第一网络威胁日志进行预处理,得到满足预设条件的第一网络威胁日志。
S330、将满足预设条件的第一网络威胁日志输入至训练后的分类模型中,得到多种类别的目标网络威胁日志;其中,分类模型是基于多组训练样本训练得到,每组训练样本包括:历史第一网络威胁日志和历史第一网络威胁日志对应的历史分类标签。
S340、根据多种类别的目标网络威胁日志向用户的客户端发送告警信息。
上述各步骤的具体实现方式将在下文中进行详细描述。
本申请实施例提供的告警方法,能够获取第一网络威胁日志,将第一网络威胁日志进行预处理,然后将预处理之后的第一网络威胁日志输入训练后的分类模型中,得到多种类别的目标网络威胁日志,然后根据不同的目标网络威胁日志的类别来向用户发出警告。由于是通过训练模型自动完成的网络威胁日志的分类,避免了人工对网络威胁日志进行分析和处理。提高了网络威胁日志分类的效率,进一步的,能够对网络风险进行及时的告警,保障了用户的网络安全。
下面介绍上述各个步骤的具体实现方式。
首先介绍S310,获取第一网络威胁日志。
其中,第一网络威胁日志可以包括当前时间段内对网络安全构成威胁的访问的记录。示例性的,第一网络威胁日志可以包括入侵、僵尸、木马或蠕虫中的至少一种的记录。
其中,本申请实施例中的分类模型的训练方法可以发生在S310之前,也可以发生在S310之后,S320之前。
其中,第一网络威胁日志可以包括历史第一网络威胁日志。
作为一种示例,S110具体可以包括:告警装置在HDFS分布式文件系统301中获取第一网络威胁日志。HDFS分布式文件系统301中的第一网络威胁日志可以包括由运维系统303中产生第一网络威胁日志,然后通过大数据采集组件将第一网络威胁日志。
然后介绍S320将第一网络威胁日志进行预处理,得到满足预设条件的第一网络威胁日志。
其中预设条件可以包括由用户设定的条件,此处不做具体限定。
在一些实施例中,将第一网络威胁日志进行预处理具体可以包括以下各项中的至少一项:
将第一网络威胁日志中缺失的字段进行补充;
将第一网络威胁日志中的空格进行删除;
将第一网络威胁日志中的异常的数据数量级进行统一;
将第一网络威胁日志中重复的数据进行删除。
在一些实施例中,对第一网络威胁日志进行预处理可以与本申请实施例中的分类模型的训练方法中的数据清洗过程相同,此处不再赘述。
之后介绍S330将满足预设条件的第一网络威胁日志输入至训练后的分类模型中,得到多种类别的目标网络威胁日志;其中,分类模型是基于多组训练样本训练得到,每组训练样本包括:历史第一网络威胁日志和历史第一网络威胁日志对应的历史分类标签。
其中,对训练样本及使用训练样本对分类模型的训练过程已经在本申请实施例中的分类模型的训练方法进行了详细的描述,此处不再赘述。
最后介绍S340根据多种类别的目标网络威胁日志向用户的客户端发送告警信息。
作为一种示例,S340具体可以包括:
在得到多种类别的目标网络威胁日志后,可以根据不同类别的目标网络威胁日志对应的不同权重与不同类别的目标网络威胁日志的数据值相乘得到不同类别的目标网络威胁日志的风险值,然后获取不同类别的目标网络威胁日志的风险值之和作为最终的风险等级。在风险等级超出预设阈值的情况下,向用户的客户端发送告警信息。
作为一种示例,不同类别的目标网络威胁日志对应的不同权重可以由用户进行自定义的设定,此处不再赘述。
作为一种示例,发送告警信息的方式可以由用户进行自定义的设定,此处不再赘述。
在一些实施例中,分类装置还可以将分类模型、历史第一网络威胁日志、第一网络威胁日志、多种类别的目标网络威胁日志向用户及时展示,展示的具体方式可以由用户设定,此处不做具体限定。
示例性的,可以基于flask框架设计展示的前端界面。通过将分类模型、历史第一网络威胁日志、第一网络威胁日志、多种类别的目标网络威胁日志向用户及时展示可以使用户及时掌握分类模型分类的进度,提高了用户的体验。
下面结合图4对本申请实施例提供的另一种告警方法400进行详细说明,图4示出了另一种告警方法400的流程示意图,其中400可以与300同步进行,如图4所示,400可以包括:
S410、获取网络流量日志。
S420、将网络威胁日志进行预处理,得到满足预设条件的网络流量日志。
S430、在满足预设条件的网络流量日志中的流量达到预设阈值的情况下,向用户的客户端发送告警信息。
上述各步骤的具体实现方式将在下文中进行详细描述。
本申请实施例中,通过获取网络流量日志,对网络流量日志进行预处理,然后在预处理后的网络流量日志中的流量超出预设阈值的情况下,向用户的客户端发送告警信息。能够避免由于流量超出承载极限而导致的网络崩溃的情况。提高了网络运行的安全性和稳定性。
下面介绍上述各个步骤的具体实现方式。
首先介绍S410获取网络流量日志。
其中网络流量日志可以包括占用网络带宽的相关数据。示例性的网络流量日志可以包括:源、目的IP地址、流量、安全策略、应用类型中的至少一项。
作为一种示例,S410具体可以包括:告警装置接收由HDFS分布式文件系统201发送的网络流量日志。HDFS分布式文件系统201中的网络流量日志可以包括由运维系统202产生的,然后由大数据采集组件fiume 204利用组件中的data flow数据流抽象过程抽取之后发送到收集器204中,然后由收集器204发送至HDFS分布式文件系统201。
通过将网络流量日志存储至HDFS分布式文件系统201中,能够使网络流量日志不会被污染,并且增大了数据的存储量。
然后介绍S420将网络威胁日志进行预处理,得到满足预设条件的网络流量日志。
其中对网络威胁日志进行预处理可以包括以下各项中的至少一项:
将网络流量日志中缺失的字段进行补充;
将网络流量日志中的空格进行删除;
将网络流量日志中的异常的数据数量级进行统一;
将网络流量日志中重复的数据进行删除。
由上可知,对网络流量进行预处理的方式与上述是实施例中数据预处理的方式相同,此处不再赘述。
其中,预设条件可以由用户进行自定义设定,此处不再赘述。
最后介绍S430在满足预设条件的网络流量日志中的流量达到预设阈值的情况下,向用户的客户端发送告警信息。
其中,网络流量日志可以包括多种类别,网络流量日志中的流量可以包括多种类别的流量。预设阈值可以包括多种类别的流量分别设定的预设阈值。
作为一种示例,告警装置对网络流量日志中的流量进行监控,在网络流量日志中的流量达到预设阈值的情况下,向用户的客户端发送告警信息。
基于与上述告警方法相同的发明构思,本申请还提供可一种告警装置500,如图5示出了一种告警装置的结构示意图,如图5所示装置可以包括:
第一获取模块501可以用于获取第一网络威胁日志;
第一预处理模块502可以用于将第一网络威胁日志进行预处理,得到满足预设条件的第一网络威胁日志;
输入模块503可以用于将满足预设条件的第一网络威胁日志输入至训练后的分类模型中,得到多种类别的目标网络威胁日志;其中,分类模型是基于多组训练样本训练得到,每组训练样本包括:历史第一网络威胁日志和历史第一网络威胁日志对应的历史分类标签;
第一发送模块504可以用于根据多种类别的目标网络威胁日志向用户的客户端发送告警信息。
本申请实施例的告警装置,能够获取第一网络威胁日志,将第一网络威胁日志进行预处理,然后将预处理之后的第一网络威胁日志输入训练后的分类模型中,得到多种类别的目标网络威胁日志,然后根据不同的目标网络威胁日志的类别来向用户发出警告。由于是通过训练模型自动完成的网络威胁日志的分类,避免了人工对网络威胁日志进行分析和处理。提高了网络威胁日志分类的效率,进一步的,能够对网络风险进行及时的告警,保障了用户的网络安全。
在一些实施例中,第一预处理模块502具体可以用于
将第一网络威胁日志中缺失的字段进行补充;
将第一网络威胁日志中的空格进行删除;
将第一网络威胁日志中的异常的数据数量级进行统一;
将第一网络威胁日志中重复的数据进行删除。
在一些实施例中,装置还可以包括:
第二获取模块505可以用于获取至少一个历史第一网络威胁日志,以及与各历史第一网络威胁日志对应的历史分类标签。
构建模块506可以用于分别根据每个历史第一网络威胁日志,以及每个历史第一网络威胁日志对应的历史分类标签构建训练样本。
训练模块507可以用于根据多个训练样本,训练分类模型,直至满足训练停止条件,得到训练后的分类模型。
本申请实施例中,通过获取历史第一网络威胁日志以及各历史第一网络威胁日志对应的历史分类标签。然后通过获取的上述数据构建训练样本,然后将训练样本输入到分类模型中,以此来对训练模型进行训练。由此能够得到训练后的分类模型,使得分类模型的训练更加高效和准确。
在一些实施例中,训练模块506还可以包括:
输入单元5071可以用于把训练样本输入至预设的分类模型中,得到历史第一网络威胁日志的历史预测分类结果。
确定单元5072可以用于根据各个训练样本的历史预测分类结果和历史分类标签,确定分类模型的最优决策函数值。
调整单元5063可以用于在最优决策函数值不满足训练停止条件的情况下,调整分类模型的模型参数,并利用训练样本训练参数调整后的分类模型,直至满足训练停止条件,得到训练后的分类模型。
在一些实施例中,装置还可以包括:
清洗模块508可以用于对历史第一网络威胁日志进行数据清洗,得到历史第二网络威胁日志。
构建模块506具体可以用于分别根据每个历史第二网络威胁日志,以及每个历史第二网络威胁日志对应的历史分类标签构建训练样本。
在一些实施例中,清洗模块508具体可以用于
将历史第一网络威胁日志中缺失的字段进行补充;
将历史第一网络威胁日志中的空格进行删除;
将历史第一网络威胁日志中的异常的数据数量级进行统一;
将历史第一网络威胁日志中重复的数据进行删除。
通过对历史第一网络威胁日志进行数据清洗,能够使得清洗后得到的第二网络威胁日志能够满足分类模型输入数据的要求。避免历史第一网络威胁日志中的重复数据对分类模型的训练过程产生不良影响。提高了分类模型训练的准确率和训练的效率
在一些实施例中,装置还可以包括:
编码模块509可以用于采用不同的预设编码规则对不同类别的历史分类标签进行编码,得到目标历史分类标签。
构建模块506具体可以用于分别根据每个历史第一网络威胁日志,以及每个历史第一网络威胁日志对应的目标历史分类标签构建训练样本。
通过对不同类别的历史分类标签进行编码,能够使得编码后的多种类别的历史分类标签更容易被分类模型所识别。提高了分类模型训练的效率。
在一些实施例中,装置还可以包括:
第三获取模块510可以用于响应于对历史第一网络威胁日志标注操作,得到与各历史第一网络威胁日志对应的历史分类标签。
在一些实施例中,装置还可以包括:
选取模块511可以用于基于交叉验证算法与训练样本在径向基核函数与高斯核函数选取核函数;
根据拉格朗日松弛算法获取选取的核函数的最优决策函数。
通过使用交叉验证算法对径向基核函数与高斯核函数进行选取,得到预测准确度较高的核函数,能够使得分类模型的训练过程更加准确。
在一些实施例中,装置还包括:
第四获取模块512可以用于获取网络流量日志。
第二预处理模块513可以用于将网络威胁日志进行预处理,得到满足预设条件的网络流量日志。
第二发送模块514可以用于在满足预设条件的网络流量日志中的流量达到预设阈值的情况下,向用户的客户端发送告警信息。
通过获取网络流量日志,对网络流量日志进行预处理,然后在预处理后的网络流量日志中的流量超出预设阈值的情况下,向用户的客户端发送告警信息。能够避免由于流量超出承载极限而导致的网络崩溃的情况。
图6示出了本申请实施例提供的告警设备的硬件结构示意图。
在告警设备可以包括处理器601以及存储有计算机程序指令的存储器602。
具体地,上述处理器601可以包括中央处理器(Central Processing Unit,CPU),或者特定集成电路(Application Specific Integrated Circuit,ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
存储器602可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器602可包括硬盘驱动器(Hard Disk Drive,HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus,USB)驱动器或者两个或更多个以上这些的组合。在一个实例中,存储器602可以包括可移除或不可移除(或固定)的介质,或者存储器602是非易失性固态存储器。存储器602可在综合网关容灾设备的内部或外部。
在一个实例中,存储器602可以是只读存储器(Read Only Memory,ROM)。在一个实例中,该ROM可以是掩模编程的ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、电可改写ROM(EAROM)或闪存或者两个或更多个以上这些的组合。
存储器602可以包括只读存储器(ROM),随机存取存储器(RAM),磁盘存储介质设备,光存储介质设备,闪存设备,电气、光学或其他物理/有形的存储器存储设备。因此,通常,存储器包括一个或多个编码有包括计算机可执行0指令的软件的有形(非暂态)计算机可读存储介质(例如,存储器设备),并且当该软件被执行(例如,由一个或多个处理器)时,其可操作来执行参考根据本公开的一方面的方法所描述的操作。
处理器601通过读取并执行存储器602中存储的计算机程序指令,以实现图1所示实施例中的方法/步骤S110至S130,并达到图3所示实例执行其方法/步骤达到的相应技术效果,为简洁描述在此不再赘述。
在一个示例中,告警设备还可包括通信接口603和总线610。其中,如图6所示,处理器601、存储器602、通信接口603通过总线610连接并完成相互间的通信。
通信接口603,主要用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。
总线610包括硬件、软件或两者,将告警设备的部件彼此耦接在一起。举例来说而非限制,总线可包括加速图形端口(Accelerated Graphics Port,AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture,EISA)总线、前端总线(Front Side Bus,FSB)、超传输(Hyper Transport,HT)互连、工业标准架构(IndustryStandard Architecture,ISA)总线、无限带宽互连、低引脚数(LPC)总线、存储器总线、微信道架构(MCA)总线、外围组件互连(PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线610可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
该告警设备可以实现结合图1和图5描述的告警方法和装置。
另外,结合上述实施例中的告警方法,本申请实施例可提供一种计算机存储介质来实现。该计算机存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种告警方法。
需要明确的是,本申请并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本申请的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本申请的精神后,作出各种改变、修改和添加,或者改变步骤之间的顺序。
以上的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(Application SpecificIntegrated Circuit,ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本申请的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RadioFrequency,RF)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
还需要说明的是,本申请中提及的示例性实施例,基于一系列的步骤或者装置描述一些方法或系统。但是,本申请不局限于上述步骤的顺序,也就是说,可以按照实施例中提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
上面参考根据本公开的实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本公开的各方面。应当理解,流程图和/或框图中的每个方框以及流程图和/或框图中各方框的组合可以由计算机程序指令实现。这些计算机程序指令可被提供给通用计算机、专用计算机、或其它可编程数据处理装置的处理器,以产生一种机器,使得经由计算机或其它可编程数据处理装置的处理器执行的这些指令使能对流程图和/或框图的一个或多个方框中指定的功能/动作的实现。这种处理器可以是但不限于是通用处理器、专用处理器、特殊应用处理器或者现场可编程逻辑电路。还可理解,框图和/或流程图中的每个方框以及框图和/或流程图中的方框的组合,也可以由执行指定的功能或动作的专用硬件来实现,或可由专用硬件和计算机指令的组合来实现。
以上,仅为本申请的具体实施方式,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。应理解,本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本申请的保护范围之内。

Claims (13)

1.一种告警方法,其特征在于,所述方法包括:
获取第一网络威胁日志;
将所述第一网络威胁日志进行预处理,得到满足预设条件的第一网络威胁日志;
将所述满足预设条件的第一网络威胁日志输入至训练后的分类模型中,得到多种类别的目标网络威胁日志;其中,所述分类模型是基于多组训练样本训练得到,每组训练样本包括:历史第一网络威胁日志和所述历史第一网络威胁日志对应的历史分类标签;
根据所述多种类别的目标网络威胁日志向用户的客户端发送告警信息。
2.根据权利要求1中所述的方法,其特征在于,所述将所述第一威胁日志进行预处理,具体包括以下各项中的至少一项:
将所述第一网络威胁日志中缺失的字段进行补充;
将所述第一网络威胁日志中的空格进行删除;
将所述第一网络威胁日志中的异常的数据数量级进行统一;
将所述第一网络威胁日志中重复的数据进行删除。
3.根据权利要求1所述的方法,其特征在于,在所述获取第一网络威胁日志之前,所述方法还包括:
获取至少一个历史第一网络威胁日志,以及与各所述历史第一网络威胁日志对应的历史分类标签;
分别根据每个所述历史第一网络威胁日志,以及每个所述历史第一网络威胁日志对应的历史分类标签构建训练样本;
根据多个所述训练样本,训练分类模型,直至满足训练停止条件,得到所述训练后的分类模型。
4.根据权利要求3所述的方法,其特征在于,根据多个所述训练样本,训练分类模型,直至满足训练停止条件,得到所述训练后的分类模型,包括:
对于每组训练样本,分别执行如下步骤:
把历史第一网络威胁日志输入至预设的分类模型中,得到所述历史第一网络威胁日志的历史预测分类结果结果;
根据各个所述训练样本的历史预测分类结果和所述历史分类标签,确定所述分类模型的最优决策函数值;
在所述最优决策函数值不满足训练停止条件的情况下,调整所述分类模型的模型参数,并利用所述训练样本训练参数调整后的分类模型,直至满足所述训练停止条件,得到所述训练后的分类模型。
5.根据权利要求3所述的方法,其特征在于,在所述获取至少一个历史第一网络威胁日志,以及与各所述历史第一网络威胁日志对应的历史分类标签之后,所述方法还包括:
对所述历史第一网络威胁日志进行数据清洗,得到历史第二网络威胁日志;
所述分别根据每个所述历史第一网络威胁日志,以及每个所述历史第一网络威胁日志对应的历史分类标签构建训练样本,包括:
分别根据每个所述历史第二网络威胁日志,以及每个所述历史第二网络威胁日志对应的历史分类标签构建训练样本。
6.根据权利要求5所述的方法,其特征在于,所述对所述历史第一网络威胁日志进行数据清洗,具体包括以下各项中的至少一项:
将所述历史第一网络威胁日志中缺失的字段进行补充;
将所述历史第一网络威胁日志中的空格进行删除;
将所述历史第一网络威胁日志中的异常的数据数量级进行统一;
将所述历史第一网络威胁日志中重复的数据进行删除。
7.根据权利要求3所述的方法,其特征在于,在所述获取至少一个历史第一网络威胁日志,以及与各所述历史第一网络威胁日志对应的历史分类标签之后,所述方法还包括:
采用不同的预设编码规则对不同类别的历史分类标签进行编码,得到目标历史分类标签;
所述分别根据每个所述历史第一网络威胁日志,以及每个所述历史第一网络威胁日志对应的历史分类标签构建训练样本,包括:
分别根据每个历史第一网络威胁日志,以及每个所述历史第一网络威胁日志对应的目标历史分类标签构建训练样本。
8.根据权利要求4所述的方法,其特征在于,在所述获取至少一个历史第一网络威胁日志之后,在所述获取与各所述历史第一网络威胁日志对应的历史分类标签之前,所述方法还包括:
响应于对所述历史第一网络威胁日志标注操作,得到与各所述历史第一网络威胁日志对应的历史分类标签。
9.根据权利要求4所述的方法,其特征在于,在所述根据各个所述训练样本的历史预测分类结果和所述历史分类标签,确定所述分类模型的最优决策函数值之前,所述方法还包括:
基于交叉验证算法与所述训练样本在径向基核函数与高斯核函数选取核函数;
根据拉格朗日松弛算法获取选取的核函数的最优决策函数。
10.根据权利要求1-9任一项所述的方法,其特征在于,所述方法还包括:
获取网络流量日志;
将所述网络威胁日志进行预处理,得到满足预设条件的网络流量日志;
在所述满足预设条件的网络流量日志中的流量达到预设阈值的情况下,向所述用户的客户端发送告警信息。
11.一种告警装置,其特征在于,所述装置包括:
获取模块,用于获取第一网络威胁日志;
预处理模块,用于将所述第一网络威胁日志进行预处理,得到满足预设条件的第一网络威胁日志;
输入模块,用于将所述满足预设条件的第一网络威胁日志输入至训练后的分类模型中,得到多种类别的目标网络威胁日志;其中,所述分类模型是基于多组训练样本训练得到,每组训练样本包括:历史第一网络威胁日志和所述历史第一网络威胁日志对应的历史分类标签;
发送模块,用于根据所述多种类别的目标网络威胁日志向用户的客户端发送告警信息。
12.一种告警设备,其特征在于,所述设备包括:处理器,以及存储有计算机程序指令的存储器;所述处理器读取并执行所述计算机程序指令,以实现如权利要求1-10任意一项所述的告警方法。
13.一种计算机存储介质,其特征在于,所述计算机存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如权利要求1-10任意一项所述的告警方法。
CN202111300732.9A 2021-11-04 2021-11-04 告警方法、装置、设备及计算机存储介质 Pending CN114143036A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111300732.9A CN114143036A (zh) 2021-11-04 2021-11-04 告警方法、装置、设备及计算机存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111300732.9A CN114143036A (zh) 2021-11-04 2021-11-04 告警方法、装置、设备及计算机存储介质

Publications (1)

Publication Number Publication Date
CN114143036A true CN114143036A (zh) 2022-03-04

Family

ID=80392681

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111300732.9A Pending CN114143036A (zh) 2021-11-04 2021-11-04 告警方法、装置、设备及计算机存储介质

Country Status (1)

Country Link
CN (1) CN114143036A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117478433A (zh) * 2023-12-27 2024-01-30 天津市品茗科技有限公司 一种网络与信息安全动态预警系统
WO2024098699A1 (zh) * 2022-11-11 2024-05-16 上海派拉软件股份有限公司 实体对象的威胁检测方法、装置、设备及存储介质

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024098699A1 (zh) * 2022-11-11 2024-05-16 上海派拉软件股份有限公司 实体对象的威胁检测方法、装置、设备及存储介质
CN117478433A (zh) * 2023-12-27 2024-01-30 天津市品茗科技有限公司 一种网络与信息安全动态预警系统
CN117478433B (zh) * 2023-12-27 2024-04-19 天津市品茗科技有限公司 一种网络与信息安全动态预警系统

Similar Documents

Publication Publication Date Title
CN109525595B (zh) 一种基于时间流特征的黑产账号识别方法及设备
CN107528832B (zh) 一种面向系统日志的基线构建与未知异常行为检测方法
CN113918376B (zh) 故障检测方法、装置、设备及计算机可读存储介质
CN114143036A (zh) 告警方法、装置、设备及计算机存储介质
CN108718298B (zh) 一种恶意外连流量检测方法及装置
CN112953971B (zh) 一种网络安全流量入侵检测方法和系统
CN107346388A (zh) Web攻击检测方法及装置
CN108923972B (zh) 一种去重流量提示方法、装置、服务器及存储介质
CN111866016A (zh) 日志的分析方法及系统
CN113792691B (zh) 一种视频识别方法、系统、设备及介质
CN114338064B (zh) 识别网络流量类型的方法、装置、系统、设备和存储介质
CN111064719B (zh) 文件异常下载行为的检测方法及装置
CN110602030A (zh) 网络入侵阻断方法、服务器及计算机可读介质
CN113343228B (zh) 事件可信度分析方法、装置、电子设备及可读存储介质
CN116939164A (zh) 一种安防监控方法及系统
CN110574348B (zh) 数据处理装置和方法
CN113162904B (zh) 一种基于概率图模型的电力监控系统网络安全告警评估方法
CN113486342A (zh) 一种基于用户行为分析的信息安全处理方法及系统
CN109033889B (zh) 一种基于时空碰撞的入侵识别方法、装置及智能终端
EP4254237A1 (en) Security data processing device, security data processing method, and computer-readable storage medium for storing program for processing security data
CN111917715B (zh) 一种基于802.11ac MAC层指纹的设备识别方法
CN113032774B (zh) 异常检测模型的训练方法、装置、设备及计算机存储介质
CN112910688B (zh) Hj212协议下基于ocsvm模型的通讯行为异常并行检测方法与系统
KR102470364B1 (ko) 보안 이벤트 학습데이터 생성 방법 및 보안 이벤트 학습데이터 생성 장치
CN117354046A (zh) 一种网络入侵检测方法、装置、电子装置和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 410000 Room 301, R&D Headquarters, Central South University Science Park, Yuelu Street, Yuelu District, Changsha City, Hunan Province

Applicant after: Tianyun Software Technology Co.,Ltd.

Address before: 410000 Room 301, R&D Headquarters, Central South University Science Park, Yuelu Street, Yuelu District, Changsha City, Hunan Province

Applicant before: Hunan Tianyun Software Technology Co.,Ltd.

CB02 Change of applicant information