CN115766068A - 一种网络安全事件等级分类方法、装置、设备、介质 - Google Patents
一种网络安全事件等级分类方法、装置、设备、介质 Download PDFInfo
- Publication number
- CN115766068A CN115766068A CN202211181640.8A CN202211181640A CN115766068A CN 115766068 A CN115766068 A CN 115766068A CN 202211181640 A CN202211181640 A CN 202211181640A CN 115766068 A CN115766068 A CN 115766068A
- Authority
- CN
- China
- Prior art keywords
- alarm
- network security
- target
- preset
- security event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种网络安全事件等级分类方法、装置、设备、介质,涉及网络安全技术领域,包括:当触发网络攻击告警时,获取触发告警的网络安全事件对应的告警日志;从告警日志中提取出目标特征,并将目标特征输入至预设等级计算模型,以便预设等级计算模型输出对应的响应分类等级;判断响应分类等级与预设响应等级的大小关系,以得到判断结果;基于判断结果选择是否对网络安全事件进行响应处理。通过分析安全事件告警数据中不同信息对危害严重程度的影响,选择目标特征输入至预先训练的预设等级计算模型,通过预设等级计算模型计算后都能得到一个对处置优先级有指导意见的响应等级数值,使等级分类更加准确,并且符合大部分场景。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种网络安全事件等级分类方法、装置、设备、介质。
背景技术
企事业单位内网中存在计算机信息系统、基础设施、计算机网络或个人计算机设备等网络资产,同时网络资产还包括在不同网络位置部署的不同类型的安全设备,如防火墙、IDS、EDR等。但由于网络环境复杂,发生的网络安全事件数量大、类型多,且根据本身承载的业务特性差异和资产价值不同,难以判定哪些安全事件需要优选处置以避免造成重大损失。因此,安全事件响应等级能够为安全事件处置的优先级提供指导作用。
现有技术方案中,利用目标攻击模型和携带标签的对抗集数据获取分箱区间,然后将本次待预测数据输入至目标攻击模型中,得到本次待预测数据的预测概率的分箱结果,并将所属的分箱区间对应的网络攻击等级作为网络数据对应的网络攻击等级,从而实现精准的检测网络中存在的异常情况,并且,通过预测当前环境的网络攻击等级,从而能够根据网络攻击等级对应的紧急程度,采取网络攻击等级对应的入侵防护措施。其中,现有技术方案中,对数据采用了三轮预测,每次将预测概率进行分箱,但未考虑数据中影响不大的特征,以及不同特征对响应等级的影响不同,该方法可能导致过拟合,使得结果不具体一般性。并且现有方案侧重于预测网络环境中发生攻击的概率大小,以此为依据进行等级划分,缺少对实际攻击发生的场景的考量。
综上,如何选择选择影响较大的特征进行特征选择,以便使预设等级计算模型计算输出的等级分类更加准确,符合大部分场景是本领域有待解决的技术问题。
发明内容
有鉴于此,本发明的目的在于提供一种网络安全事件等级分类方法、装置、设备、介质,能够选择选择影响较大的特征进行特征选择,以便使预设等级计算模型计算输出的等级分类更加准确,符合大部分场景。其具体方案如下:
第一方面,本申请公开了一种网络安全事件等级分类方法,包括:
当触发网络攻击告警时,获取触发告警的网络安全事件对应的告警日志;
从所述告警日志中提取出目标特征,并将所述目标特征输入至预设等级计算模型,以便所述预设等级计算模型输出对应的响应分类等级;
判断所述响应分类等级与预设响应等级的大小关系,以得到判断结果;
基于所述判断结果选择是否对所述网络安全事件进行响应处理。
可选的,所述从所述告警日志中提取出目标特征过程中,还包括:
对所述告警日志进行解析,提取告警字段的值,并对所述告警字段以及对应的值进行键值对形式保存。
可选的,所述从所述告警日志中提取出目标特征,包括:
从所述告警日志中提取出第一目标特征,并对所述第一目标特征进行数据预处理,以得到第二目标特征;
对所述第二目标特征进行降维处理,以得到满足预设维度参数的目标特征以及对应的目标特征值。
可选的,所述从所述告警日志中提取出第一目标特征,并对所述第一目标特征进行数据预处理,以得到第二目标特征,包括:
从所述告警日志中提取出第一目标特征,去除数据缺失和/或噪音大的所述第一目标特征,以得到第二目标特征。
可选的,所述对所述第二目标特征进行降维处理,以得到满足预设维度参数的目标特征以及对应的目标特征值,包括:
对所述第二目标特征进行降维处理,以得到攻击方向、告警威胁程度、资产价值、互联网暴露程度、攻击结果以及对应的目标特征值。
可选的,所述将所述目标特征输入至预设等级计算模型之前,还包括:
基于携带响应分类等级标签的网络安全事件对应的历史特征对原始等级计算模型进行训练,以得到预设等级计算模型。
可选的,所述将所述目标特征输入至预设等级计算模型,以便所述预设等级计算模型输出对应的响应分类等级计算,包括:
将所述目标特征输入至预设等级计算模型,以便所述预设等级计算模型基于特征权重系数对所述目标特征进行参数拟合,以确定对应的响应分类等级。
第二方面,本申请公开了一种网络安全事件等级分类装置,包括:
日志获取模块,用于当触发网络攻击告警时,获取触发告警的网络安全事件对应的告警日志;
等级确定模块,用于从所述告警日志中提取出目标特征,并将所述目标特征输入至预设等级计算模型,以便所述预设等级计算模型输出对应的响应分类等级;
判断模块,用于判断所述响应分类等级与预设响应等级的大小关系,以得到判断结果;
事件响应模块,用于基于所述判断结果选择是否对所述网络安全事件进行响应处理。
第三方面,本申请公开了一种电子设备,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现前述公开的网络安全事件等级分类方法的步骤。
第四方面,本申请公开了一种计算机可读存储介质,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的网络安全事件等级分类方法的步骤。
由此可见,本申请公开了一种网络安全事件等级分类方法,包括:当触发网络攻击告警时,获取触发告警的网络安全事件对应的告警日志;从所述告警日志中提取出目标特征,并将所述目标特征输入至预设等级计算模型,以便所述预设等级计算模型输出对应的响应分类等级;判断所述响应分类等级与预设响应等级的大小关系,以得到判断结果;基于所述判断结果选择是否对所述网络安全事件进行响应处理。可见,通过分析安全事件告警数据中不同信息对危害严重程度的影响,选择目标特征输入至预先训练的预设等级计算模型,通过预设等级计算模型计算后都能得到一个对处置优先级有指导意见的响应等级数值,使等级分类更加准确,并且符合大部分场景,使得运营人员能够聚焦重大安全事件,减少漏报误报,提高准确率,及时做出处置。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种网络安全事件等级分类方法流程图;
图2为本申请公开的一种具体的网络安全事件等级分类方法流程图;
图3为本申请公开的一种响应等级计算方法流程图;
图4为本申请公开的一种网络安全事件等级分类装置结构示意图;
图5为本申请公开的一种电子设备结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
现有技术方案中,利用目标攻击模型和携带标签的对抗集数据获取分箱区间,然后将本次待预测数据输入至目标攻击模型中,得到本次待预测数据的预测概率的分箱结果,并将所属的分箱区间对应的网络攻击等级作为网络数据对应的网络攻击等级,从而实现精准的检测网络中存在的异常情况,并且,通过预测当前环境的网络攻击等级,从而能够根据网络攻击等级对应的紧急程度,采取网络攻击等级对应的入侵防护措施。其中,现有技术方案中,对数据采用了三轮预测,每次将预测概率进行分箱,但未考虑数据中影响不大的特征,以及不同特征对响应等级的影响不同,该方法可能导致过拟合,使得结果不具体一般性。并且现有方案侧重于预测网络环境中发生攻击的概率大小,以此为依据进行等级划分,缺少对实际攻击发生的场景的考量。
为此,本申请提供了一种网络安全事件等级分类方案,能够选择选择影响较大的特征进行特征选择,以便使预设等级计算模型计算输出的等级分类更加准确,符合大部分场景。
参照图1所示,本发明实施例公开了一种网络安全事件等级分类方法,包括:
步骤S11:当触发网络攻击告警时,获取触发告警的网络安全事件对应的告警日志。
本实施例中,当检测到对网络资产进行进攻时,立即触发网络攻击告警,并获取在某个网络资产上被判定为成功的网络攻击的告警日志信息,其中,所述网络资产具体可以包括但不限于:企事业单位内网中的计算机信息系统、基础设施、计算机网络或个人计算机设备等;所述网络攻击具体是指,针对计算机信息系统、基础设施、计算机网络或个人计算机设备的,任何类型的进攻动作。
步骤S12:从所述告警日志中提取出目标特征,并将所述目标特征输入至预设等级计算模型,以便所述预设等级计算模型输出对应的响应分类等级。
本实施例中,将告警日志传输至日志解析模块中,通过日志解析模块对告警日志进行解析,提取计算响应等级所需要的字段,可以理解的是,企事业单位安全事件的告警数量太多,若对每一个告警都选择通知网络安全管理人员进行处理,网络安全管理人员的事件处理压力过大,并且容易造成重要事件告警无法及时处理,因此需要对告警日志进行等级分类,从所有告警日志中确定出对应的紧急待处理网络安全事件进行处理,具体的,告警日志中包含着本次网络攻击的所有信息,但由于告警日志中包含着网络攻击的影响较大和影响不大的特征,所以需要提取告警日志中的目标特征,其中,所述目标特征具体为对本次网络攻击影响较大的特征以及对响应等级影响较大的特征。
本实施例中,所述从所述告警日志中提取出目标特征过程中,还包括:对所述告警日志进行解析,提取告警字段的值,并对所述告警字段以及对应的值进行键值对形式保存。可以理解的是,读取告警日志并对其格式进行解析,提取告警字段的值,格式化为key-value的形式,对于缺失的字段以空值填充。以对告警字段进行格式转换并进行键值映射,完成对告警字段的保存,其中,所述告警字段具体为计算对应的网络安全事件所需要的日志字段。
本实施例中,将所述目标特征输入至预设等级计算模型,以便所述预设等级计算模型基于特征权重系数对所述目标特征进行参数拟合,以确定对应的响应分类等级。可以理解的是,将目标特征输入至预设等级计算模型中,利用特征权重系数对目标特征进行参数拟合,其中,由于本实施例中,为使预设等级计算模型计算出的响应等级更加准确,因此在目标特征的选择中,选择预设数量个重要的日志字段作为目标特征,其中,相应的特征权重系数也需要根据选择的目标特征而确定,具体的,为了更加响应预设等级计算模型能够适应更多的实际攻击发生的场景,因此,在进行特征权重系数的选择上,采用人工运营经验充分考虑世纪情况下不同攻击场景的影响,例如:采用专家经验赋予拟合后的目标特征的权重参数,调整目标特征原本所占的比重,以得到调整后的拟合目标特征。然后获取经过调整的拟合目标特征的对应的响应等级。
本实施例中,所述将所述目标特征输入至预设等级计算模型之前,还包括:基于携带响应分类等级标签的网络安全事件对应的历史特征对原始等级计算模型进行训练,以得到预设等级计算模型。可以理解的是,通过数据集采集模块采集历史数据作为训练集,并对该训练集进行打标处理,也即对训练集中的历史特征进行标签化处置,以得到携带响应分类等级标签的历史特征。具体的,训练集的标签来源于历史告警的运营研判,主要以运营人员的判断、用户反馈、实际造成的影响为依据,响应等级分为三级,对应等级数值为1、2、3,不同的等级数据分别对应不同的处置手段,本实施例中,可将数值设置为由小到大的顺序对应安全事件响应等级由较低到最高。之后,利用携带响应分类等级标签的历史特征对原始等级计算模型进行训练,以得到预设等级计算模型。
步骤S13:判断所述响应分类等级与预设响应等级的大小关系,以得到判断结果。
本实施例中,预先设置响应等级与对应的资产价值之间的对应关系,例如:等级为1的响应等级对应为资产的重要程度都很低,其安全属性破坏后可能导致系统受到很低程度的影响,甚至忽略不计;等级为2的响应等级对应为资产的重要程度较低,其安全属性破坏后可能导致系统受到较低程度的影响;等级为3的响应等级对应为资产的重要程度较高,其安全属性破坏后可能导致系统受到中等程度的影响;等级为4的响应等级对应为资产的重要程度较高,其安全属性破坏后可能导致系统受到比较严重的影响;等级为5的响应等级对应为资产的重要程度很高,其安全属性破坏后可能导致系统受到非常严重的影响。将通过预设等级计算模型计算得到的安全事件的响应分类等级与设置的响应等级进行比较,确定计算的响应分类等级属于具体的某一个预设的响应等级,参照表1所示,表1为目标特征的含义与分制分配:
表1
其中,资产价值具体是指,网络资产的重要程度,即如果被攻击成功,可能会造成的危害严重程度。
步骤S14:基于所述判断结果选择是否对所述网络安全事件进行响应处理。
本实施例中,基于上述预设等级与资产价值的对应关系进一步确定计算出的网络安全事件的分类等级响应时所采取的对应措施,可以理解的是,若计算出的网络安全事件的等级为3,则根据预设的对应规则可知,标准的等级3所对应的资产价值为资产的重要程度较高,其安全属性破坏后可能导致系统受到中等程度的影响,因此,可以判断出本次计算的分类响应等级3所对应的失陷状态为常规病毒、木马感染;互联网暴露程度为内网全部暴露;告警威胁程度为技术方面存在着一般缺陷,对系统造成常规类危害,据此,可以基于分类响应等级3进行相应的处理。
由此可见,本申请公开了一种网络安全事件等级分类方法,包括:当触发网络攻击告警时,获取触发告警的网络安全事件对应的告警日志;从所述告警日志中提取出目标特征,并将所述目标特征输入至预设等级计算模型,以便所述预设等级计算模型输出对应的响应分类等级;判断所述响应分类等级与预设响应等级的大小关系,以得到判断结果;基于所述判断结果选择是否对所述网络安全事件进行响应处理。可见,通过分析安全事件告警数据中不同信息对危害严重程度的影响,选择目标特征输入至预先训练的预设等级计算模型,通过预设等级计算模型计算后都能得到一个对处置优先级有指导意见的响应等级数值,使等级分类更加准确,并且符合大部分场景,使得运营人员能够聚焦重大安全事件,减少漏报误报,提高准确率,及时做出处置。
参照图2所示,本发明实施例公开了一种具体的网络安全事件等级分类方法,相对于上一实施例,本实施例对技术方案作了进一步的说明和优化。具体的:
步骤S21:当触发网络攻击告警时,获取触发告警的网络安全事件对应的告警日志。
步骤S22:从所述告警日志中提取出第一目标特征,并对所述第一目标特征进行数据预处理,以得到第二目标特征;对所述第二目标特征进行降维处理,以得到满足预设维度参数的目标特征以及对应的目标特征值,并将所述目标特征以及所述目标特征值输入至预设等级计算模型,以便所述预设等级计算模型输出对应的响应分类等级。
本实施例中,从所述告警日志中提取出第一目标特征,去除数据缺失和/或噪音大的所述第一目标特征,以得到第二目标特征。对所述第二目标特征进行降维处理,以得到攻击方向、告警威胁程度、资产价值、互联网暴露程度、攻击结果以及对应的目标特征值。可以理解的是,首先根据经验选择了12维特征,也即第一目标特征,将12维特征进行数据清洗,去掉了其中缺失较多或噪音较大的数据,剩下的10维特征,也即第二目标特征,其中,数据清洗后的10维特征如表2所示:
表2
10维特征经过特征工程,进行转换、拆分与组合后得到5维特征,也即目标特征,特征工程后的5维特征如表3所示:
表3
| 特征 | 字段类型 | 范围 |
| 攻击方向 | String | [00,10,01] |
| 告警威胁程度 | Integer | 1-5 |
| 资产价值 | Integer | 1-5 |
| 互联网暴露程度 | Integer | 1-5 |
| 攻击结果 | Integer | 1-3 |
将目标特征的特征值都转换为数值1-5,特征包括资产价值,也即重要程度、互联网暴露程度、攻击方向、攻击类型等;其中,告警方向根据IP地理位置进行判断、告警威胁程度根据告警类型和子类型进行判断;其中,对应的原始告警字段具体可以包括但不限于:源IP、目的IP、源端口、目的端口、攻击方向、告警类型等。据此,将所述目标特征以及所述目标特征值输入至预设等级计算模型,以便所述预设等级计算模型输出对应的响应分类等级,使用得到的5维特征进行参数拟合,通过卡方验证为特征分配权重,使得80%的安全事件响应等级落在3级,而剩余20%的落在1、2级。
步骤S23:判断所述响应分类等级与预设响应等级的大小关系,以得到判断结果。
其中,步骤S21、S23中更加详细的处理过程,请参照前述公开的实施例内容,在此不再进行赘述。
步骤S24:基于所述判断结果选择是否对所述网络安全事件进行响应处理。
本实施例中,基于卡方验证分配的权重系数,以及拟合出的响应分类计算模型遵循二八法则,业务数据能够覆盖99.5%以上的重大安全事件,使得运营人员能够聚焦20%的重大安全事件,聚焦的99.5%重大安全事件,能够减少漏报误报,提高准确率,其中,所述重大安全事件具体是指需要及时做出处置该类事件,一般影响非常大,必须马上处理,可能导致严重的数据丢失、服务业务中断、信息泄漏、远程控制等严重风险。
参照图3所示,首先获取告警日志,将告警日志输入至告警日志解析模块,以便告警日志解析模块对日志进行解析处理,提取目标特征,需要注意的是,该告警日志分析模块在训练原始响应等级计算模型时还可充当数据采集模块,对采集的数据进行数据打标处理,得到携带响应等级标签的历史特征,然后对历史特征进行数据处理,获取最终的历史目标特征,对选择的历史目标特征进行拟合处理,进而利用拟合后的历史目标特征并通过安全事件响应等级算法进行原始响应等级计算模型的训练,其中,算法模型为:
其中,V为目标特征的特征值,W为特征权重系数,i为目标特征。获取预设响应等级计算模型,然后,将通过告警日志解析模块中提取的目标特征输入预设响应等级计算模型,以便预设响应等级计算模型计算出网络安全事件的响应等级,进而选择对应的处置手段进行处置。
由此可见,将网络攻击中的IP属性、攻击方向、攻击类型等特征进行拟合,结合人工运营经验充分考虑了实际情况下不同攻击场景的影响。通过特征工程进行特征选择,选择影响较大的特征进行拟合并赋予不同权重,使得响应等级算法能够符合大部分场景。避免了网络安全管理人员无法及时处理,可能发生由于安全事件处置不及时导致的信息泄露、经济损失、监管问题等等。
参照图4所示,本发明实施例公开了一种网络安全事件等级分类装置,包括:
日志获取模块11,用于当触发网络攻击告警时,获取触发告警的网络安全事件对应的告警日志;
等级确定模块12,用于从所述告警日志中提取出目标特征,并将所述目标特征输入至预设等级计算模型,以便所述预设等级计算模型输出对应的响应分类等级;
判断模块13,用于判断所述响应分类等级与预设响应等级的大小关系,以得到判断结果;
事件响应模块14,用于基于所述判断结果选择是否对所述网络安全事件进行响应处理。
由此可见,本申请公开了一种网络安全事件等级分类方法,包括:当触发网络攻击告警时,获取触发告警的网络安全事件对应的告警日志;从所述告警日志中提取出目标特征,并将所述目标特征输入至预设等级计算模型,以便所述预设等级计算模型输出对应的响应分类等级;判断所述响应分类等级与预设响应等级的大小关系,以得到判断结果;基于所述判断结果选择是否对所述网络安全事件进行响应处理。可见,通过分析安全事件告警数据中不同信息对危害严重程度的影响,选择目标特征输入至预先训练的预设等级计算模型,通过预设等级计算模型计算后都能得到一个对处置优先级有指导意见的响应等级数值,使等级分类更加准确,并且符合大部分场景,使得运营人员能够聚焦重大安全事件,减少漏报误报,提高准确率,及时做出处置。
进一步的,本申请实施例还公开了一种电子设备,图5是根据一示例性实施例示出的电子设备20结构图,图中的内容不能认为是对本申请的使用范围的任何限制。
图5为本申请实施例提供的一种电子设备20的结构示意图。该电子设备20,具体可以包括:至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中,所述存储器22用于存储计算机程序,所述计算机程序由所述处理器21加载并执行,以实现前述任一实施例公开的网络安全事件等级分类方法中的相关步骤。另外,本实施例中的电子设备20具体可以为电子计算机。
本实施例中,电源23用于为电子设备20上的各硬件设备提供工作电压;通信接口24能够为电子设备20创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议,在此不对其进行具体限定;输入输出接口25,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
其中,处理器21可以包括一个或多个处理核心,比如4核心处理器、8核心处理器等。处理器21可以采用DSP(Digital Signal Processing,数字信号处理)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)、PLA(Programmable Logic Array,可编程逻辑阵列)中的至少一种硬件形式来实现。处理器21也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称CPU(Central ProcessingUnit,中央处理器);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器21可以在集成有GPU(Graphics Processing Unit,图像处理器),GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中,处理器21还可以包括AI(Artificial Intelligence,人工智能)处理器,该AI处理器用于处理有关机器学习的计算操作。
另外,存储器22作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源可以包括操作系统221、计算机程序222等,存储方式可以是短暂存储或者永久存储。
其中,操作系统221用于管理与控制电子设备20上的各硬件设备以及计算机程序222,以实现处理器21对存储器22中海量数据223的运算与处理,其可以是Windows Server、Netware、Unix、Linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的网络安全事件等级分类方法的计算机程序之外,还可以进一步包括能够用于完成其他特定工作的计算机程序。数据223除了可以包括电子设备接收到的由外部设备传输进来的数据,也可以包括由自身输入输出接口25采集到的数据等。
进一步的,本申请还公开了一种计算机可读存储介质,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的网络安全事件等级分类方法。关于该方法的具体步骤可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的一种网络安全事件等级分类方法、装置、设备、介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种网络安全事件等级分类方法,其特征在于,包括:
当触发网络攻击告警时,获取触发告警的网络安全事件对应的告警日志;
从所述告警日志中提取出目标特征,并将所述目标特征输入至预设等级计算模型,以便所述预设等级计算模型输出对应的响应分类等级;
判断所述响应分类等级与预设响应等级的大小关系,以得到判断结果;
基于所述判断结果选择是否对所述网络安全事件进行响应处理。
2.根据权利要求1所述的网络安全事件等级分类方法,其特征在于,所述从所述告警日志中提取出目标特征过程中,还包括:
对所述告警日志进行解析,提取告警字段的值,并对所述告警字段以及对应的值进行键值对形式保存。
3.根据权利要求1所述的网络安全事件等级分类方法,其特征在于,所述从所述告警日志中提取出目标特征,包括:
从所述告警日志中提取出第一目标特征,并对所述第一目标特征进行数据预处理,以得到第二目标特征;
对所述第二目标特征进行降维处理,以得到满足预设维度参数的目标特征以及对应的目标特征值。
4.根据权利要求3所述的网络安全事件等级分类方法,其特征在于,所述从所述告警日志中提取出第一目标特征,并对所述第一目标特征进行数据预处理,以得到第二目标特征,包括:
从所述告警日志中提取出第一目标特征,去除数据缺失和/或噪音大的所述第一目标特征,以得到第二目标特征。
5.根据权利要求3所述的网络安全事件等级分类方法,其特征在于,所述对所述第二目标特征进行降维处理,以得到满足预设维度参数的目标特征以及对应的目标特征值,包括:
对所述第二目标特征进行降维处理,以得到攻击方向、告警威胁程度、资产价值、互联网暴露程度、攻击结果以及对应的目标特征值。
6.根据权利要求1至5任一项所述的网络安全事件等级分类方法,其特征在于,所述将所述目标特征输入至预设等级计算模型之前,还包括:
基于携带响应分类等级标签的网络安全事件对应的历史特征对原始等级计算模型进行训练,以得到预设等级计算模型。
7.根据权利要求1所述的网络安全事件等级分类方法,其特征在于,所述将所述目标特征输入至预设等级计算模型,以便所述预设等级计算模型输出对应的响应分类等级计算,包括:
将所述目标特征输入至预设等级计算模型,以便所述预设等级计算模型基于特征权重系数对所述目标特征进行参数拟合,以确定对应的响应分类等级。
8.一种网络安全事件等级分类装置,其特征在于,包括:
日志获取模块,用于当触发网络攻击告警时,获取触发告警的网络安全事件对应的告警日志;
等级确定模块,用于从所述告警日志中提取出目标特征,并将所述目标特征输入至预设等级计算模型,以便所述预设等级计算模型输出对应的响应分类等级;
判断模块,用于判断所述响应分类等级与预设响应等级的大小关系,以得到判断结果;
事件响应模块,用于基于所述判断结果选择是否对所述网络安全事件进行响应处理。
9.一种电子设备,其特征在于,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现如权利要求1至7任一项所述的网络安全事件等级分类方法的步骤。
10.一种计算机可读存储介质,其特征在于,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的网络安全事件等级分类方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211181640.8A CN115766068A (zh) | 2022-09-27 | 2022-09-27 | 一种网络安全事件等级分类方法、装置、设备、介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211181640.8A CN115766068A (zh) | 2022-09-27 | 2022-09-27 | 一种网络安全事件等级分类方法、装置、设备、介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115766068A true CN115766068A (zh) | 2023-03-07 |
Family
ID=85352043
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211181640.8A Pending CN115766068A (zh) | 2022-09-27 | 2022-09-27 | 一种网络安全事件等级分类方法、装置、设备、介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115766068A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117240554A (zh) * | 2023-09-19 | 2023-12-15 | 海通证券股份有限公司 | 安全事件的治理方法及电子设备 |
| CN117421188A (zh) * | 2023-10-30 | 2024-01-19 | 新华三科技服务有限公司 | 告警定级方法、装置、设备及可读存储介质 |
| CN117579329A (zh) * | 2023-11-15 | 2024-02-20 | 北京源堡科技有限公司 | 组织网络安全暴露风险预测方法、电子设备及存储介质 |
| CN117749448A (zh) * | 2023-12-08 | 2024-03-22 | 广州市融展信息科技有限公司 | 一种网络潜在风险智能预警方法及装置 |
-
2022
- 2022-09-27 CN CN202211181640.8A patent/CN115766068A/zh active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117240554A (zh) * | 2023-09-19 | 2023-12-15 | 海通证券股份有限公司 | 安全事件的治理方法及电子设备 |
| CN117240554B (zh) * | 2023-09-19 | 2024-05-07 | 海通证券股份有限公司 | 安全事件的治理方法及电子设备 |
| CN117421188A (zh) * | 2023-10-30 | 2024-01-19 | 新华三科技服务有限公司 | 告警定级方法、装置、设备及可读存储介质 |
| CN117579329A (zh) * | 2023-11-15 | 2024-02-20 | 北京源堡科技有限公司 | 组织网络安全暴露风险预测方法、电子设备及存储介质 |
| CN117749448A (zh) * | 2023-12-08 | 2024-03-22 | 广州市融展信息科技有限公司 | 一种网络潜在风险智能预警方法及装置 |
| CN117749448B (zh) * | 2023-12-08 | 2024-05-17 | 广州市融展信息科技有限公司 | 一种网络潜在风险智能预警方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN115766068A (zh) | 一种网络安全事件等级分类方法、装置、设备、介质 | |
| US20220292190A1 (en) | Methods and apparatus for analyzing sequences of application programming interface traffic to identify potential malicious actions | |
| CN101610174B (zh) | 一种日志事件关联分析系统与方法 | |
| KR102088310B1 (ko) | 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정시스템 및 그 방법 | |
| CN116896481B (zh) | 一种基于物联网的网络安全数据风险评估系统 | |
| CN114301712A (zh) | 一种基于图方法的工业互联网告警日志关联分析方法及系统 | |
| CN113704328A (zh) | 基于人工智能的用户行为大数据挖掘方法及系统 | |
| CN110086829B (zh) | 一种基于机器学习技术进行物联网异常行为检测的方法 | |
| CN115396324A (zh) | 一种网络安全态势感知预警处理系统 | |
| KR102433830B1 (ko) | 인공지능 기반 보안위협 이상행위 탐지 시스템 및 방법 | |
| CN110830504A (zh) | 一种网络入侵行为检测方法及系统 | |
| CN109871711B (zh) | 海洋大数据共享分发风险控制模型及方法 | |
| CN116776331A (zh) | 基于用户行为建模的内部威胁检测方法及装置 | |
| CN116545867A (zh) | 一种监控通信网络网元性能指标异常的方法及装置 | |
| CN113162904B (zh) | 一种基于概率图模型的电力监控系统网络安全告警评估方法 | |
| CN112839029B (zh) | 一种僵尸网络活跃度的分析方法与系统 | |
| CN114205146B (zh) | 一种多源异构安全日志的处理方法及装置 | |
| KR102369240B1 (ko) | 네트워크 공격 탐지 장치 및 방법 | |
| CN114039837A (zh) | 告警数据处理方法、装置、系统、设备和存储介质 | |
| CN115706669A (zh) | 网络安全态势预测方法及系统 | |
| CN117807590B (zh) | 基于人工智能的信息安全预测及监控系统及方法 | |
| CN116915506B (zh) | 一种异常流量检测方法、装置、电子设备及存储介质 | |
| CN117544420B (zh) | 一种基于数据分析的融合系统安全管理方法及系统 | |
| US20230418949A1 (en) | Multi-computer system for performing vulnerability analysis and alert generation | |
| CN115664726A (zh) | 一种恶意beacon通信的检测方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |