CN114567482A - 一种告警分类方法、装置、电子设备及存储介质 - Google Patents
一种告警分类方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114567482A CN114567482A CN202210191830.1A CN202210191830A CN114567482A CN 114567482 A CN114567482 A CN 114567482A CN 202210191830 A CN202210191830 A CN 202210191830A CN 114567482 A CN114567482 A CN 114567482A
- Authority
- CN
- China
- Prior art keywords
- network attack
- alarm information
- actual influence
- attack behavior
- alarm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 230000006399 behavior Effects 0.000 claims abstract description 131
- 238000012502 risk assessment Methods 0.000 claims abstract description 40
- 238000012545 processing Methods 0.000 claims abstract description 31
- 238000012549 training Methods 0.000 claims abstract description 14
- 230000002457 bidirectional effect Effects 0.000 claims abstract description 9
- 238000004590 computer program Methods 0.000 claims description 9
- 238000004891 communication Methods 0.000 claims description 7
- 230000004044 response Effects 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 10
- 230000006870 function Effects 0.000 description 8
- 230000000903 blocking effect Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000011156 evaluation Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000000605 extraction Methods 0.000 description 2
- 230000002349 favourable effect Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012216 screening Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000004821 distillation Methods 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种告警分类方法、装置、电子设备及存储介质。用于对网络攻击行为对应的告警信息进行分类,基于分类结果快速有效地进行安全响应与处置,提升对网络攻击行为的处理效率。所述方法包括:在检测到存在网络攻击行为时,从网络攻击行为对应的告警信息中获取网络攻击特征;通过训练好的网络攻击预测模型基于网络攻击特征对网络攻击行为进行风险评估;其中,网络攻击预测模型是通过标注的正样本集和负样本集对双向编码器BERT模型进行训练得到的,正样本集中的数据为网络攻击行为会产生实际影响的告警信息数据,负样本集中的数据为网络攻击行为不会产生实际影响的告警信息数据;基于风险评估结果对告警信息进行分类。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种告警分类方法、装置、电子设备及存储介质。
背景技术
随着互联网技术的发展,电脑在各个行业都得到了广泛的应用,这些电脑可能会遭受来自互联网黑客的攻击,目前,为了能够及时发现黑客的攻击行为,通常会采用安全检测设备/系统对攻击行为进行检测,并通过安全管理人员对检测过程中产生的安全告警日志进行分析,然而网络攻击产生的安全告警日志一般数量较大,因此安全管理人员很难从海量的日志信息中筛选出高价值的告警信息,不利于快速有效地进行安全响应与处置。
发明内容
本申请实施例提供了一种告警分类方法、装置、电子设备及存储介质。用于对网络攻击行为对应的告警信息进行分类,基于分类结果快速有效地进行安全响应与处置,提升对网络攻击行为的处理效率。
第一方面,提供一种告警分类方法,所述方法包括:
在检测到存在网络攻击行为时,从所述网络攻击行为对应的告警信息中获取网络攻击特征;
通过训练好的网络攻击预测模型基于所述网络攻击特征对所述网络攻击行为进行风险评估,获得风险评估结果;其中,所述网络攻击预测模型是通过标注的正样本集和负样本集对双向编码器BERT模型进行训练得到的,所述正样本集中的数据为网络攻击行为会产生实际影响的告警信息数据,所述负样本集中的数据为网络攻击行为不会产生实际影响的告警信息数据;
基于所述风险评估结果对所述告警信息进行分类。
可选的,所述风险评估结果中包括所述网络攻击行为的实际影响程度,所述基于所述风险评估结果对所述告警信息进行分类,包括:
基于所述实际影响程度确定所述网络攻击行为是否会产生实际影响;
若所述网络攻击行为会产生实际影响,则确定所述告警信息属于第一类别;其中,所述第一类别中的告警信息为需要进行处理的告警信息;
若所述网络攻击行为不会产生实际影响,则确定所述告警信息属于第二类别;其中,所述第二类别中的告警信息为不需要进行处理的告警信息。
可选的,所述确定所述告警信息属于第一类别之后,还包括:
根据所述实际影响程度反馈指示信息;其中,所述指示信息用于指示对所述网络攻击行为进行处理的方式。
可选的,所述根据所述实际影响程度反馈指示信息,包括:
若所述实际影响程度大于第一预设阈值,则反馈第一指示信息;其中,所述第一指示信息用于指示通过预设策略对所述网络攻击行为进行阻断;
若所述实际影响程度小于所述第一预设阈值,则反馈第二指示信息;其中,所述第二指示信息用于指示相关业务人员确认是否需要对所述网络攻击行为进行阻断。
第二方面,提供一种告警分类装置,所述装置包括:
处理模块,用于在检测到存在网络攻击行为时,从所述网络攻击行为对应的告警信息中获取网络攻击特征;
所述处理模块,还用于通过训练好的网络攻击预测模型基于所述网络攻击特征对所述网络攻击行为进行风险评估,获得风险评估结果;其中,所述网络攻击预测模型是通过标注的正样本集和负样本集对双向编码器BERT模型进行训练得到的,所述正样本集中的数据为网络攻击行为会产生实际影响的告警信息数据,所述负样本集中的数据为网络攻击行为不会产生实际影响的告警信息数据;
所述处理模块,还用于基于所述风险评估结果对所述告警信息进行分类。
可选的,所述风险评估结果中包括所述网络攻击行为的实际影响程度,所述处理模块,具体用于:
基于所述实际影响程度确定所述网络攻击行为是否会产生实际影响;
若所述网络攻击行为会产生实际影响,则确定所述告警信息属于第一类别;其中,所述第一类别中的告警信息为需要进行处理的告警信息;
若所述网络攻击行为不会产生实际影响,则确定所述告警信息属于第二类别;其中,所述第二类别中的告警信息为不需要进行处理的告警信息。
可选的,所述告警分类装置还包括通信模块,用于:
根据所述实际影响程度反馈指示信息;其中,所述指示信息用于指示对所述网络攻击行为进行处理的方式。
可选的,所述通信模块,具体用于:
在所述实际影响程度大于第一预设阈值时,反馈第一指示信息;其中,所述第一指示信息用于指示通过预设策略对所述网络攻击行为进行阻断;
在所述实际影响程度小于所述第一预设阈值时,反馈第二指示信息;其中,所述第二指示信息用于指示相关业务人员确认是否需要对所述网络攻击行为进行阻断。
第三方面,提供一种电子设备,所述电子设备包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序指令执行第一方面中任一所述的方法包括的步骤。
第四方面,提供一种计算可读存储介质,所述计算可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使计算机执行第一方面中任一所述的方法包括的步骤。
第五方面,提供一种包含指令的计算机程序产品,当所述计算机程序产品在计算机上运行时,使得计算机执行上述各种可能的实现方式中所描述的位置调整方法。
在本申请实施例中,在检测到存在网络攻击行为时,从网络攻击行为对应的告警信息中获取网络攻击特征,基于训练好的网络攻击预测模型基于获取的网络攻击特征对网络攻击行为进行风险评估,获得风险评估结果;其中,网络攻击预测模型是通过标注的正样本集和负样本集对BERT模型进行训练得到的,正样本集中的数据为网络攻击行为会产生实际影响的告警信息数据,负样本集中的数据为网络攻击行为不会产生实际影响的告警信息数据;并在获得风险评估结果之后,基于该风险评估结果对告警信息进行分类。
也就是说,本申请分别通过会产生实际影响的告警信息数据和不会产生实际影响的告警信息数据进行模型训练,通过训练好的模型基于网络攻击特征对网络攻击行为的告警信息进行分类,可以快速分拣出会产生实际影响的网络攻击行为的告警信息,从而能够及时采取相应的处置措施,提升对网络攻击行为的处理效率。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例。
图1为本申请实施例提供的一种告警分类方法的流程图;
图2为本申请实施例提供的一种告警分类装置的结构框图;
图3为本发明实施例中的计算机设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚明白,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请的说明书和权利要求书及上述附图中的术语“第一”和“第二”是用于区别不同对象,而非用于描述特定顺序。此外,术语“包括”以及它们任何变形,意图在于覆盖不排他的保护。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请中的“多个”可以表示至少两个,例如可以是两个、三个或者更多个,本申请实施例不做限制。
为了便于理解,下面先对本发明实施例的设计思想进行介绍。
如前所述,安全监测设备/系统对攻击行为进行检测时会产生的大量的安全告警日志,安全管理人员难以从大量的安全告警日志中筛选出高价值的告警信息,不利于快速有效地进行安全响应与处置。为了解决该技术问题,目前,一种技术方案是通过预定义规则集进行匹配,然而,由于网络攻击行为的告警种类较多,在预定义规则集时可能无法覆盖所有的告警种类,因此通过预定义规则集进行匹配筛选高价值的告警信息的准确性较低。
鉴于此,本申请考虑到网络攻击行为一般主要表现为会产生实际影响和不会产生实际影响两种形式,其中,针对会产生实际影响的网络攻击行为,需要采取相应的应对措施,而针对不会产生实际影响的网络攻击行为,可以不采取应对措施,因此,本申请实施例在检测到网络攻击行为时,从该网络攻击行为对应的告警信息中获取网络攻击特征,并通过训练好的网络攻击预测模型基于获取的网络攻击特征对该网络攻击行为进行风险评估,获得风险评估结果,其中,该网络攻击预测模型是通过网络攻击行为会产生实际影响的告警信息数据形成的正样本集和网络攻击行为不会产生实际影响的告警信息数据形成的负样本集对双向编码器(Bidirectional Encoder Representation from Transformers,BERT)模型进行训练得到的,然后基于风险评估结果对告警信息进行分类。这样,通过正负样本集对模型进行训练使得训练后的模型可以预测网络攻击行为是会产生实际影响的攻击行为还是不会产生实际影响的网络攻击行为,仅对会产生实际影响的攻击行为采取应对措施,可以有效提升对网络攻击行为的处理效率,且通过模型预测的方式相对于预定义规则集可以有效提升网络攻击行为预测的准确性。
下面结合说明书附图对本申请实施例提供的告警分类方法进行介绍。请参见图1所示,本申请实施例中的告警分类方法的流程描述如下:
步骤101:在检测到存在网络攻击行为时,从网络攻击行为对应的告警信息中获取网络攻击特征;
步骤102:通过训练好的网络攻击预测模型基于网络攻击特征对网络攻击行为进行风险评估,获得风险评估结果;
在本申请实施例中,在基于网络攻击特征对网络攻击行为进行风险评估之前,还需要进行模型训练以得到网络攻击预测模型,下面对模型训练过程进行说明:
步骤S10:获取进行模型训练的样本集;
其中,样本集包括正样本集和负样本集,正样本集中的数据为网络攻击行为会产生实际影响的告警信息数据,负样本集中的数据为网络攻击行为不会产生实际影响的告警信息数据(例如是试探攻击行为),正、负样本集可以是人工标注然后通过告警工单上报的,也可以是基于历史处理记录进行筛选得到的,例如,基于安全告警流转记录中的反馈信息筛选出实际处理过的告警信息,将该告警信息作为正样本集,将没处理过的告警信息作为负样本集。
步骤S11:进行特征提取,获取网络攻击特征;
在获得正、负样本集之后,还需要对该正、负样本集中的告警信息进行特征提取,获取网络攻击特征,例如是提取告警工单字段中的上报单位、告警类型、告警说明、告警详情(告警报文)和攻击源地址和病毒名称等信息,然后基于提取的内容获取网络攻击特征。作为一种可能的实施方式,在对每个告警信息进行特征提取之后,还可以对提取的内容进行字符级处理、合并和特定长度截取操作。
步骤S12:对BERT模型进行训练;
在本申请实施例中,分别通过正样本集中的网络攻击特征和负样本集中的网络攻击特征对模型进行训练,例如,将正样本集中告警信息对应的网络攻击特征输入BERT模型,通过BERT模型对网络攻击特征进行语义分析,预测该告警信息对应的网络攻击行为是否会产生实际影响,若预测结果为该网络攻击行为不会产生实际影响,则确定预测结果与样本集的标注结果不相同,此时需要调整模型参数对模型进行优化。
作为一种可能的实施方式,考虑到告警预测的实时性要求,还可以采用模型蒸馏技术同时训练教师模型和学生模型,通过学生模型对新的网络攻击行为进行风险评估,其中,还可以在模型训练的过程中补充安全告警token。
网络攻击预测模型训练完成之后,将步骤101获取的网络攻击特征输入该网络攻击预测模型,对网络攻击行为进行风险评估,并输出风险评估结果。
步骤103:基于风险评估结果对告警信息进行分类。
在本申请实施例中,作为一种可能的实施方式,风险评估结果中包括网络攻击行为的实际影响程度,基于该实际影响程度判断当前的网络攻击行为是否会产生实际影响,若确定该网络攻击行为会产生实际影响,则认为该告警信息属于第一类别,即认为该告警信息为需要处理的告警信息,若确定该网络攻击行为不会产生实际影响,则认为该告警信息属于第二类别,即认为该告警信息为不需要处理的告警信息。
其中,在确定该告警信息属于第一类别之后,还可以根据该告警信息对应网络攻击行为的实际影响程度反馈指示信息,用于指示对该网络攻击行为进行处理的方式。具体的,若网络攻击行为的实际影响程度大于第一预设阈值,则反馈第一指示信息,用于指示被攻击的终端设备(例如是电脑)基于预设策略该网络攻击行为进行阻断,例如,指示被攻击的电脑开启防火墙对该网络攻击行为进行阻断,此时,相关业务人员将不会接收到相关提示信息。例如,第一预设阈值为90%,风险评估结果中指示该网络攻击行为的实际影响程度为93%,即实际影响程度大于第一预设阈值,此时认为该网络攻击行为属于高影响等级的网络攻击行为,需要立即对该网络攻击行为采取阻断措施,因此直接向该网络攻击行为的目标终端设备反馈第一指示信息,指示该目标终端设备启动防火墙机制,阻断该网络攻击行为。
若网络攻击行为的实际影响程度小于第一预设阈值,则反馈第二指示信息,用于指示相关业务人员确认是否需要对网络攻击行为进行阻断,此时,相关业务人员将会收到提示信息(即第二提示信息),相关业务人员在收到提示信息时,通过安全管理平台调用agent接口在主机侧抓取特定的日志、文件和进程等信息,通过该安全管理平台判断是否需要对该网络攻击行为进行阻断。例如,第一预设阈值为90%,风险评估结果中指示该网络攻击行为的实际影响程度为76%,即实际影响程度小于第一预设阈值,此时为了避免直接阻断时音响改那个某些正常业务的运行,因此需要相关业务人员通过安全管理平台调用agent接口在主机侧抓取特定的日志、文件和进程等信息,通过安全管理平台判断是否需要对该网络攻击行为进行阻断,若确定需要阻断,则对该网络行为采取阻断措施。
作为一种可能的实施方式,还可以设置第二预设阈值,第二预设阈值小于第一预设阈值,若风险评估结果中指示实际影响程度大于第二预设阈值且小于第二预设阈值,则反馈第二指示信息,执行上述步骤,若风险评估结果中指示实际影响程度小于第二预设阈值,则反馈第三指示信息,提示相关业务人员可以对该网络攻击行为延缓处理,或仅做阅知。
在具体的实施过程中,通过模型预测网络攻击行为是否会产生实际影响,对于不会产生实际影响的告警信息不采取相关措施,对会产生实际影响的网络攻击行为根据实际模型预测出的实际影响程度分别采取对应的措施,可以有效提升对网络攻击行为的处理效率。
基于同一发明构思,本申请实施例提供了一种告警分类装置,该告警分类装置能够实现前述的告警分类方法对应的功能。该告警分类装置可以是硬件结构、软件模块、或硬件结构加软件模块。该告警分类装置可以由芯片系统实现,芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。请参见图2所示,该告警分类装置包括:
处理模块201,用于在检测到存在网络攻击行为时,从所述网络攻击行为对应的告警信息中获取网络攻击特征;
所述处理模块201,还用于通过训练好的网络攻击预测模型基于所述网络攻击特征对所述网络攻击行为进行风险评估,获得风险评估结果;其中,所述网络攻击预测模型是通过标注的正样本集和负样本集对双向编码器BERT模型进行训练得到的,所述正样本集中的数据为网络攻击行为会产生实际影响的告警信息数据,所述负样本集中的数据为网络攻击行为不会产生实际影响的告警信息数据;
所述处理模块201,还用于基于所述风险评估结果对所述告警信息进行分类。
可选的,所述风险评估结果中包括所述网络攻击行为的实际影响程度,所述处理模块201,具体用于:
基于所述实际影响程度确定所述网络攻击行为是否会产生实际影响;
若所述网络攻击行为会产生实际影响,则确定所述告警信息属于第一类别;其中,所述第一类别中的告警信息为需要进行处理的告警信息;
若所述网络攻击行为不会产生实际影响,则确定所述告警信息属于第二类别;其中,所述第二类别中的告警信息为不需要进行处理的告警信息。
可选的,所述告警分类装置还包括通信模块202,用于:
根据所述实际影响程度反馈指示信息;其中,所述指示信息用于指示对所述网络攻击行为进行处理的方式。
可选的,所述通信模块202,具体用于:
在所述实际影响程度大于第一预设阈值时,反馈第一指示信息;其中,所述第一指示信息用于指示通过预设策略对所述网络攻击行为进行阻断;
在所述实际影响程度小于所述第一预设阈值时,反馈第二指示信息;其中,所述第二指示信息用于指示相关业务人员确认是否需要对所述网络攻击行为进行阻断。
前述的告警分类方法的实施例涉及的各步骤的所有相关内容均可援引到本申请施例中的告警分类装置所对应的功能模块的功能描述,在此不再赘述。
本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,另外,在本申请各个实施例中的各功能模块可以集成在一个处理器中,也可以是单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
基于同一发明构思,本申请实施例提供一种电子设备。请参见图3所示,该电子设备包括至少一个处理器301,以及与至少一个处理器连接的存储器302,本申请实施例中不限定处理器301与存储器302之间的具体连接介质,图3中是以处理器301和存储器302之间通过总线300连接为例,总线300在图3中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。总线300可以分为地址总线、数据总线、控制总线等,为便于表示,图3中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
在本申请实施例中,存储器302存储有可被至少一个处理器301执行的指令,至少一个处理器301通过执行存储器302存储的指令,可以执行前述的告警分类方法中所包括的步骤。
其中,处理器301是电子设备的控制中心,可以利用各种接口和线路连接整个电子设备的各个部分,通过运行或执行存储在存储器302内的指令以及调用存储在存储器302内的数据,电子设备的各种功能和处理数据,从而对电子设备进行整体监控。可选的,处理器301可包括一个或多个处理单元,处理器301可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器301中。在一些实施例中,处理器301和存储器302可以在同一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
处理器301可以是通用处理器,例如中央处理器(CPU)、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的告警分类方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器302作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器302可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random AccessMemory,RAM)、静态随机访问存储器(Static Random Access Memory,SRAM)、可编程只读存储器(Programmable Read Only Memory,PROM)、只读存储器(Read Only Memory,ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性存储器、磁盘、光盘等等。存储器302是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器302还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
通过对处理器301进行设计编程,可以将前述实施例中介绍的告警分类方法所对应的代码固化到芯片内,从而使芯片在运行时能够执行前述的告警分类方法的步骤,如何对处理器301进行设计编程为本领域技术人员所公知的技术,这里不再赘述。
基于同一发明构思,本申请实施例还提供一种计算可读存储介质,该计算可读存储介质存储有计算机指令,当该计算机指令在计算机上运行时,使得计算机执行如前述的告警分类方法的步骤。
在一些可能的实施方式中,本申请提供的告警分类方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在电子设备上运行时,程序代码用于使该检测设备执行本说明书上述描述的根据本申请各种示例性实施方式的告警分类方法中的步骤。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (10)
1.一种告警分类方法,其特征在于,所述方法包括:
在检测到存在网络攻击行为时,从所述网络攻击行为对应的告警信息中获取网络攻击特征;
通过训练好的网络攻击预测模型基于所述网络攻击特征对所述网络攻击行为进行风险评估,获得风险评估结果;其中,所述网络攻击预测模型是通过标注的正样本集和负样本集对双向编码器BERT模型进行训练得到的,所述正样本集中的数据为网络攻击行为会产生实际影响的告警信息数据,所述负样本集中的数据为网络攻击行为不会产生实际影响的告警信息数据;
基于所述风险评估结果对所述告警信息进行分类。
2.如权利要求1所述的方法,其特征在于,所述风险评估结果中包括所述网络攻击行为的实际影响程度,所述基于所述风险评估结果对所述告警信息进行分类,包括:
基于所述实际影响程度确定所述网络攻击行为是否会产生实际影响;
若所述网络攻击行为会产生实际影响,则确定所述告警信息属于第一类别;其中,所述第一类别中的告警信息为需要进行处理的告警信息;
若所述网络攻击行为不会产生实际影响,则确定所述告警信息属于第二类别;其中,所述第二类别中的告警信息为不需要进行处理的告警信息。
3.如权利要求2所述的方法,其特征在于,所述确定所述告警信息属于第一类别之后,还包括:
根据所述实际影响程度反馈指示信息;其中,所述指示信息用于指示对所述网络攻击行为进行处理的方式。
4.如权利要求3所述的方法,其特征在于,所述根据所述实际影响程度反馈指示信息,包括:
若所述实际影响程度大于第一预设阈值,则反馈第一指示信息;其中,所述第一指示信息用于指示通过预设策略对所述网络攻击行为进行阻断;
若所述实际影响程度小于所述第一预设阈值,则反馈第二指示信息;其中,所述第二指示信息用于指示相关业务人员确认是否需要对所述网络攻击行为进行阻断。
5.一种告警分类装置,其特征在于,所述装置包括:
处理模块,用于在检测到存在网络攻击行为时,从所述网络攻击行为对应的告警信息中获取网络攻击特征;
所述处理模块,还用于通过训练好的网络攻击预测模型基于所述网络攻击特征对所述网络攻击行为进行风险评估,获得风险评估结果;其中,所述网络攻击预测模型是通过标注的正样本集和负样本集对双向编码器BERT模型进行训练得到的,所述正样本集中的数据为网络攻击行为会产生实际影响的告警信息数据,所述负样本集中的数据为网络攻击行为不会产生实际影响的告警信息数据;
所述处理模块,还用于基于所述风险评估结果对所述告警信息进行分类。
6.如权利要求5所述的装置,其特征在于,所述风险评估结果中包括所述网络攻击行为的实际影响程度,所述处理模块,具体用于:
基于所述实际影响程度确定所述网络攻击行为是否会产生实际影响;
若所述网络攻击行为会产生实际影响,则确定所述告警信息属于第一类别;其中,所述第一类别中的告警信息为需要进行处理的告警信息;
若所述网络攻击行为不会产生实际影响,则确定所述告警信息属于第二类别;其中,所述第二类别中的告警信息为不需要进行处理的告警信息。
7.如权利要求6所述的装置,其特征在于,所述告警分类装置还包括通信模块,用于:
根据所述实际影响程度反馈指示信息;其中,所述指示信息用于指示对所述网络攻击行为进行处理的方式。
8.如权利要求7所述的装置,其特征在于,所述通信模块,具体用于:
在所述实际影响程度大于第一预设阈值时,反馈第一指示信息;其中,所述第一指示信息用于指示通过预设策略对所述网络攻击行为进行阻断;
在所述实际影响程度小于所述第一预设阈值时,反馈第二指示信息;其中,所述第二指示信息用于指示相关业务人员确认是否需要对所述网络攻击行为进行阻断。
9.一种电子设备,其特征在于,包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序指令执行权利要求1-4任一项所述的方法包括的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被计算机执行时,使所述计算机执行如权利要求1-4任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210191830.1A CN114567482A (zh) | 2022-02-28 | 2022-02-28 | 一种告警分类方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210191830.1A CN114567482A (zh) | 2022-02-28 | 2022-02-28 | 一种告警分类方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114567482A true CN114567482A (zh) | 2022-05-31 |
Family
ID=81715801
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210191830.1A Pending CN114567482A (zh) | 2022-02-28 | 2022-02-28 | 一种告警分类方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114567482A (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2975801A1 (de) * | 2014-07-18 | 2016-01-20 | Deutsche Telekom AG | Verfahren zum Erkennen eines Angriffs in einem Computernetzwerk |
| US20180183827A1 (en) * | 2016-12-28 | 2018-06-28 | Palantir Technologies Inc. | Resource-centric network cyber attack warning system |
| CN110287316A (zh) * | 2019-06-04 | 2019-09-27 | 深圳前海微众银行股份有限公司 | 一种告警分类方法、装置、电子设备及存储介质 |
| CN110351277A (zh) * | 2019-07-12 | 2019-10-18 | 李然 | 电力监控系统安全防护告警方法 |
| CN110830504A (zh) * | 2019-11-28 | 2020-02-21 | 华北电力科学研究院有限责任公司 | 一种网络入侵行为检测方法及系统 |
| CN110868419A (zh) * | 2019-11-18 | 2020-03-06 | 杭州安恒信息技术股份有限公司 | Web后门攻击事件的检测方法、装置及电子设备 |
| US10812317B1 (en) * | 2015-03-06 | 2020-10-20 | Sprint Communcations Company L.P. | Telecommunication network trouble ticket system |
| US20200336506A1 (en) * | 2019-04-22 | 2020-10-22 | Microsoft Technology Licensing, Llc | Predicting a next alert in a pattern of alerts to identify a security incident |
| CN112887310A (zh) * | 2021-01-27 | 2021-06-01 | 华南理工大学 | 一种提升网络攻击风险评估效率的方法、设备及介质 |
| CN113672935A (zh) * | 2021-08-20 | 2021-11-19 | 中国电信股份有限公司 | 安全告警风险评估方法、装置、电子设备和存储介质 |
-
2022
- 2022-02-28 CN CN202210191830.1A patent/CN114567482A/zh active Pending
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2975801A1 (de) * | 2014-07-18 | 2016-01-20 | Deutsche Telekom AG | Verfahren zum Erkennen eines Angriffs in einem Computernetzwerk |
| CN106537872A (zh) * | 2014-07-18 | 2017-03-22 | 德国电信股份有限公司 | 用于检测计算机网络中的攻击的方法 |
| US10812317B1 (en) * | 2015-03-06 | 2020-10-20 | Sprint Communcations Company L.P. | Telecommunication network trouble ticket system |
| US20180183827A1 (en) * | 2016-12-28 | 2018-06-28 | Palantir Technologies Inc. | Resource-centric network cyber attack warning system |
| US20200336506A1 (en) * | 2019-04-22 | 2020-10-22 | Microsoft Technology Licensing, Llc | Predicting a next alert in a pattern of alerts to identify a security incident |
| CN110287316A (zh) * | 2019-06-04 | 2019-09-27 | 深圳前海微众银行股份有限公司 | 一种告警分类方法、装置、电子设备及存储介质 |
| WO2020244336A1 (zh) * | 2019-06-04 | 2020-12-10 | 深圳前海微众银行股份有限公司 | 一种告警分类方法、装置、电子设备及存储介质 |
| CN110351277A (zh) * | 2019-07-12 | 2019-10-18 | 李然 | 电力监控系统安全防护告警方法 |
| CN110868419A (zh) * | 2019-11-18 | 2020-03-06 | 杭州安恒信息技术股份有限公司 | Web后门攻击事件的检测方法、装置及电子设备 |
| CN110830504A (zh) * | 2019-11-28 | 2020-02-21 | 华北电力科学研究院有限责任公司 | 一种网络入侵行为检测方法及系统 |
| CN112887310A (zh) * | 2021-01-27 | 2021-06-01 | 华南理工大学 | 一种提升网络攻击风险评估效率的方法、设备及介质 |
| CN113672935A (zh) * | 2021-08-20 | 2021-11-19 | 中国电信股份有限公司 | 安全告警风险评估方法、装置、电子设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107943954B (zh) | 网页敏感信息的检测方法、装置及电子设备 | |
| CN110830986B (zh) | 一种物联网卡异常行为检测方法、装置、设备及存储介质 | |
| CN112003838B (zh) | 网络威胁的检测方法、装置、电子装置和存储介质 | |
| CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| CN109101815B (zh) | 一种恶意软件检测方法及相关设备 | |
| CN108923972B (zh) | 一种去重流量提示方法、装置、服务器及存储介质 | |
| KR101132197B1 (ko) | 악성 코드 자동 판별 장치 및 방법 | |
| CN107016298B (zh) | 一种网页篡改监测方法及装置 | |
| CN114553523A (zh) | 基于攻击检测模型的攻击检测方法及装置、介质、设备 | |
| CN111414402A (zh) | 一种日志威胁分析规则生成方法及装置 | |
| CN113765850B (zh) | 物联网异常检测方法、装置、计算设备及计算机存储介质 | |
| CN114024761A (zh) | 网络威胁数据的检测方法、装置、存储介质及电子设备 | |
| CN112966264A (zh) | Xss攻击检测方法、装置、设备及机器可读存储介质 | |
| CN113378161A (zh) | 一种安全检测方法、装置、设备及存储介质 | |
| CN116389148B (zh) | 一种基于人工智能的网络安全态势预测系统 | |
| CN117435480A (zh) | 一种二进制文件检测方法、装置、电子设备及存储介质 | |
| CN114584391B (zh) | 异常流量处理策略的生成方法、装置、设备及存储介质 | |
| CN113098827A (zh) | 基于态势感知的网络安全预警方法及装置 | |
| CN114567482A (zh) | 一种告警分类方法、装置、电子设备及存储介质 | |
| CN109214212B (zh) | 信息防泄露方法及装置 | |
| US11232202B2 (en) | System and method for identifying activity in a computer system | |
| CN113111037A (zh) | 日志审计告警方法、装置及存储介质 | |
| CN113672913B (zh) | 一种安全事件处理方法、装置及电子设备 | |
| CN113076540B (zh) | 一种攻击检测的方法、装置、电子设备及存储介质 | |
| CN114154160B (zh) | 容器集群监测方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |