CN117094006B - 一种基于人工智能算法的安全事件根因分析方法及系统 - Google Patents
一种基于人工智能算法的安全事件根因分析方法及系统 Download PDFInfo
- Publication number
- CN117094006B CN117094006B CN202311361481.4A CN202311361481A CN117094006B CN 117094006 B CN117094006 B CN 117094006B CN 202311361481 A CN202311361481 A CN 202311361481A CN 117094006 B CN117094006 B CN 117094006B
- Authority
- CN
- China
- Prior art keywords
- alarm
- security event
- algorithm
- feature
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004422 calculation algorithm Methods 0.000 title claims abstract description 317
- 238000004458 analytical method Methods 0.000 title claims abstract description 109
- 238000013473 artificial intelligence Methods 0.000 title claims abstract description 33
- 230000009467 reduction Effects 0.000 claims abstract description 95
- 238000000034 method Methods 0.000 claims abstract description 83
- 238000012545 processing Methods 0.000 claims abstract description 42
- 238000005065 mining Methods 0.000 claims abstract description 36
- 238000006243 chemical reaction Methods 0.000 claims abstract description 35
- 230000006870 function Effects 0.000 claims description 157
- 230000002159 abnormal effect Effects 0.000 claims description 137
- 238000001514 detection method Methods 0.000 claims description 72
- 238000003745 diagnosis Methods 0.000 claims description 61
- 238000012549 training Methods 0.000 claims description 35
- 238000012937 correction Methods 0.000 claims description 34
- 238000009499 grossing Methods 0.000 claims description 33
- 230000008569 process Effects 0.000 claims description 31
- 238000012795 verification Methods 0.000 claims description 31
- 238000004364 calculation method Methods 0.000 claims description 21
- 238000007637 random forest analysis Methods 0.000 claims description 21
- 238000012360 testing method Methods 0.000 claims description 20
- 230000009466 transformation Effects 0.000 claims description 20
- 238000000605 extraction Methods 0.000 claims description 19
- 230000005856 abnormality Effects 0.000 claims description 12
- 230000007123 defense Effects 0.000 claims description 11
- 238000001914 filtration Methods 0.000 claims description 11
- 239000013598 vector Substances 0.000 claims description 11
- 238000011156 evaluation Methods 0.000 claims description 10
- 238000005516 engineering process Methods 0.000 claims description 8
- 238000012544 monitoring process Methods 0.000 claims description 8
- 238000012163 sequencing technique Methods 0.000 claims description 8
- 230000007246 mechanism Effects 0.000 claims description 7
- 238000013528 artificial neural network Methods 0.000 claims description 6
- 238000004891 communication Methods 0.000 claims description 6
- 238000012774 diagnostic algorithm Methods 0.000 claims description 6
- 238000012546 transfer Methods 0.000 claims description 6
- 230000003044 adaptive effect Effects 0.000 claims description 5
- 238000004590 computer program Methods 0.000 claims description 5
- 230000000306 recurrent effect Effects 0.000 claims description 5
- 230000002123 temporal effect Effects 0.000 claims description 4
- 238000010200 validation analysis Methods 0.000 claims description 4
- 238000000556 factor analysis Methods 0.000 claims description 2
- 238000005457 optimization Methods 0.000 description 9
- 230000000694 effects Effects 0.000 description 8
- 238000010801 machine learning Methods 0.000 description 5
- 230000001965 increasing effect Effects 0.000 description 4
- 238000007621 cluster analysis Methods 0.000 description 3
- 238000013135 deep learning Methods 0.000 description 3
- 238000005259 measurement Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 230000008260 defense mechanism Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 238000010187 selection method Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3452—Performance evaluation by statistical analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3476—Data logging
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
Abstract
本发明涉及人工智能技术领域,尤其涉及一种基于人工智能算法的安全事件根因分析方法及系统。所述方法包括以下步骤:对安全设备进行告警日志采集,得到安全事件告警日志;利用数据转换算法对安全事件告警日志进行日志数据转换,得到安全事件告警数据;利用预设的告警特征算法模型对安全事件告警数据进行特征提取,得到安全事件告警特征;通过告警降噪算法对安全事件告警特征进行降噪处理,得到安全事件告警降噪特征;利用关键度挖掘算法对安全事件告警降噪特征进行关键特征提取,得到安全事件告警关键特征;载入预设的泛化层次结构集合进行特征合并,得到告警关键特征。本发明能够加强安全管理,快速解决银行网络终端数据泄密问题。
Description
技术领域
本发明涉及人工智能技术领域,尤其涉及一种基于人工智能算法的安全事件根因分析方法及系统。
背景技术
安全事件根因分析是安全事件管理的重要组成部分。在现代技术环境中,网络安全面临着越来越多的挑战,攻击者不断进化和出现新的攻击模式,使得安全事件的复杂性和数量不断增加。因此,快速准确地分析出安全事件的根本原因是非常必要的。为了满足这一需求,人工智能算法的应用成为了越来越流行的趋势。目前,安全事件根因分析技术通常采用了机器学习算法和深度学习算法,以发现深层次的隐藏原因,帮助了解异常事件的行为模式。机器学习算法是通过自动学习来推断出隐含在数据中的模式,进而提供更好的分析结果。而深度学习算法则可以通过多层神经网络来分析和处理更为复杂的数据结构。
对于银行来说,信息安全是管理的重中之重。为了加强安全管理、减少风险,各大银行相继部署网络准入、防病毒、桌面管理等安全防护产品以确保办公网络终端安全、稳定地运行,但是目前尚难以解决终端数据泄密的问题。
发明内容
基于此,本发明有必要提供一种基于人工智能算法的安全事件根因分析方法,以解决至少一个上述技术问题。
为实现上述目的,一种基于人工智能算法的安全事件根因分析方法,包括以下步骤:
步骤S1:对安全设备进行告警日志采集,得到安全事件告警日志;利用数据转换算法对安全事件告警日志进行日志数据转换,得到安全事件告警数据;
步骤S2:利用预设的告警特征算法模型对安全事件告警数据进行特征提取,得到安全事件告警特征;通过告警降噪算法对安全事件告警特征进行降噪处理,得到安全事件告警降噪特征;
步骤S3:利用关键度挖掘算法对安全事件告警降噪特征进行关键特征提取,得到安全事件告警关键特征;载入预设的泛化层次结构集合进行特征合并,得到告警关键特征;并通过聚类权度算法对告警关键特征进行聚类判断,得到聚类检测结果;
步骤S4:根据聚类检测结果利用安全聚类算法对告警关键特征进行分类处理,得到安全事件类型数据;利用安全事件类型数据构建安全事件树,以生成安全事件序列;
步骤S5:利用预设的异常检测算法模型对安全事件序列进行异常分析,得到异常事件序列;根据根因诊断算法对异常事件序列进行根因诊断分析,得到异常事件根因数据;
步骤S6:利用图数据库技术对异常事件根因数据进行数据连通分析,得到异常根因分析结果;通过自适应风控算法对异常根因分析结果进行实时监测,并配置相应的安全措施进行防御处理。
本发明通过实时对医疗信息系统中的安全设备产生的告警信息进行采集,提取出有价值的告警信息,以得到安全事件告警日志。通过对安全事件告警数据的收集和分析,可以实现对安全事件的跟踪和分析,有助于识别并解决潜在的安全问题。通过数据转换算法对安全事件告警日志进行处理,可以将原始日志转换成更易于分析的数据格式,从而改善安全事件的解决效率。另外,通过利用预设的告警特征算法模型对安全事件告警数据进行特征提取,可以将复杂的原始数据转换成更具有可解释性的特征向量。这些特征向量可以用于训练机器学习模型,从而实现自动化的安全事件判别和分类。同时,通过告警降噪算法对安全事件告警特征进行降噪处理,可以排除掉一些噪声数据,提高特征的稳定性和可靠性。这有助于提高机器学习模型的精确度和泛化能力,降低误报率和漏报率,从而更好地保护银行网络终端数据安全。通过关键度挖掘算法对安全事件告警降噪特征的特征权重进行评估,选出对目标变量的贡献最大的特征作为关键特征。在安全事件告警中,可以利用关键度挖掘算法对降噪后的安全事件告警特征进行分析,找出与安全事件根因分析相关的关键特征。在得到关键特征后,可以将其载入预设的泛化层次结构集合中进行特征合并,将关键特征从不同层次进行组合,得到更具有表达能力的告警关键特征。将合并后的告警关键特征作为聚类分析的输入,通过聚类权度算法对告警关键特征进行聚类判断,判断该告警关键特征是否需要继续聚类分析,从而发现潜在的异常安全事件,该聚类权度算法是一种基于特征距离和平滑处理的聚类判断算法,通过计算关键特征的距离,为每个特征赋予一个聚类权度,并将其用于聚类判断过程中,增加不同特征的影响力,提高聚类检测结果的准确性。通过前面的关键特征提取和聚类判断分析,得到聚类检测结果,根据聚类检测结果利用安全聚类算法对告警关键特征进行分类划分,通过安全聚类算法的划分,可以将各种告警关键特征进行分类,以得到不同的安全事件类型数据。得到安全事件类型数据之后,通过构建安全事件树,以生成安全事件序列。安全事件树是一种树形结构,在树的每个节点记录一个安全事件类型,节点之间的关系表示安全事件的演化过程。通过对安全事件树的遍历和分析,可以了解安全事件的整体情况,定位安全事件的来源和影响范围。安全事件树的构建过程从叶节点开始,根据安全事件类型数据不断向上延伸并合并节点,构建整个安全事件树的结构。得到安全事件树后,就可以定期、准确地进行安全事件的追踪和分析,及时采取相应的安全措施,预防和避免潜在安全威胁。通过利用预设的异常检测算法模型和根因诊断算法,对安全事件序列进行异常分析和根因诊断分析,可以更加深入地了解银行网络安全系统中的异常事件,从而有针对性地采取措施,保障银行网络系统的安全性和稳定性。通过利用图数据库技术进行数据连通分析,将异常事件根因数据转换成图数据,并利用图算法和数据挖掘技术对异常事件之间的关联性和从属关系进行建模和分析,发现其中的安全威胁和危害,从而得到异常根因分析结果。最后,通过自适应风控算法对异常根因分析结果进行实时监测,可以动态地配置相应的安全措施进行防御处理,提高系统的安全性和可靠性,从而解决银行网络终端数据泄密的问题。
优选地,本发明还提供了一种基于人工智能算法的安全事件根因分析系统,包括:
至少一个处理器;以及,
与至少一个处理器通信连接的存储器;其中,
存储器存储有可被至少一个处理器执行的计算机程序,计算机程序被至少一个处理器执行,以使至少一个处理器能够执行如上任一项所述的基于人工智能算法的安全事件根因分析方法。
综上所述,本发明提供了一种基于人工智能算法的安全事件根因分析系统,该系统能够实现本发明所述任意一种基于人工智能算法的安全事件根因分析方法,用于联合存储器、处理器及存储器上运行的计算机程序之间的操作实现一种基于人工智能算法的安全事件根因分析方法,系统内部结构互相协作,该安全事件根因分析系统通过采用高级算法和模型精细化分析安全事件,更加全面、准确地确定安全事件的根因,从而提高安全事件分析的精度。通过对安全事件告警数据进行分析,提高安全事件预警的敏锐度,快速预警可能发生的安全风险,可以帮助安全团队全面、准确地管理安全事件,从而更好地控制和预防安全事件的发生。基于人工智能算法的安全事件根因分析系统可以快速响应安全事件,能够提高安全事件检测流程的稳定性和可靠性,为安全团队提供更科学、合理的应急响应流程,进一步提高安全保障能力。
附图说明
通过阅读参照以下附图所作的对非限制性实施所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1为本发明基于人工智能算法的安全事件根因分析方法的步骤流程示意图;
图2为图1中步骤S2的详细步骤流程示意图;
图3为图2中步骤S21的详细步骤流程示意图;
图4为图1中步骤S3的详细步骤流程示意图;
图5为图4中步骤S33的详细步骤流程示意图;
图6为图1中步骤S4的详细步骤流程示意图;
图7为图1中步骤S5的详细步骤流程示意图。
具体实施方式
下面结合附图对本发明专利的技术方法进行清楚、完整的描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域所属的技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
此外,附图仅为本发明的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器方法和/或微控制器方法中实现这些功能实体。
应当理解的是,虽然在这里可能使用了术语“第一”、“第二”等等来描述各个单元,但是这些单元不应当受这些术语限制。使用这些术语仅仅是为了将一个单元与另一个单元进行区分。举例来说,在不背离示例性实施例的范围的情况下,第一单元可以被称为第二单元,并且类似地第二单元可以被称为第一单元。这里所使用的术语“和/或”包括其中一个或更多所列出的相关联项目的任意和所有组合。
为实现上述目的,请参阅图1至图7,本发明提供了一种基于人工智能算法的安全事件根因分析方法,所述方法包括以下步骤:
步骤S1:对安全设备进行告警日志采集,得到安全事件告警日志;利用数据转换算法对安全事件告警日志进行日志数据转换,得到安全事件告警数据;
步骤S2:利用预设的告警特征算法模型对安全事件告警数据进行特征提取,得到安全事件告警特征;通过告警降噪算法对安全事件告警特征进行降噪处理,得到安全事件告警降噪特征;
步骤S3:利用关键度挖掘算法对安全事件告警降噪特征进行关键特征提取,得到安全事件告警关键特征;载入预设的泛化层次结构集合进行特征合并,得到告警关键特征;并通过聚类权度算法对告警关键特征进行聚类判断,得到聚类检测结果;
具体地,例如泛化层次结构集合为多层次的分类结构,旨在将银行的安全事件数据划分为不同级别的类别,每个级别包括更具体或更一般的类别,使得数据可以在不同层次上进行组织和管理。在预设泛化层次结构集合中,可以有多个级别。例如,最高级别可能是“银行业务安全事件”,这是一个非常抽象的类别,包括所有与安全相关的事件,下一个级别可以包括更具体的类别,如“银行网络攻击”、“银行恶意软件检测”、“银行用户身份盗用”,每个级别都可以进一步细分,以更具体地描述不同类型的安全事件。银行的安全事件数据可以被分类和归类到预设的层次结构中的不同类别中,例如,如果某个数据记录指示发生了网络攻击,那么该记录可以被归类到“网络攻击”类别下。预设的泛化层次结构集合使银行能够更轻松地进行查询和报告。安全团队可以选择特定级别的类别来查看相关的安全事件数据,也可以选择更高级别的类别以获取更广泛的概览。
具体地,例如最高级别(Level 1):类别:银行业务安全事件;第二级别(Level 2):类别:网络安全事件、类别:身份验证和访问控制事件、类别:欺诈事件;第三级别(Level3):类别:网络攻击,子类别:DDoS攻击,子类别:恶意软件攻击;类别:身份验证问题,子类别:非法登录尝试,子类别:身份盗用;类别:欺诈,子类别:信用卡欺诈,子类别:账户入侵,将每个安全事件数据记录根据其性质分配到适当的类别中,根据示例中的泛化层次结构层次来确定类别。对每个类别的安全事件数据进行特征提取,这可能包括事件的时间戳、事件类型、受影响的资产、IP地址的特征。对于每个类别,可以合并特定级别的特征以生成更一般的特征。例如,对于“网络攻击”类别,将DDoS攻击和恶意软件攻击的特征合并成一个“网络攻击”特征。使用合并后的特征生成告警关键特征,是每个类别的汇总统计数据,例如每类事件的平均持续时间、频率、受影响的用户数。使用聚类算法对告警关键特征进行分析,以识别模式和趋势。
步骤S4:根据聚类检测结果利用安全聚类算法对告警关键特征进行分类处理,得到安全事件类型数据;利用安全事件类型数据构建安全事件树,以生成安全事件序列;
步骤S5:利用预设的异常检测算法模型对安全事件序列进行异常分析,得到异常事件序列;根据根因诊断算法对异常事件序列进行根因诊断分析,得到异常事件根因数据;
步骤S6:利用图数据库技术对异常事件根因数据进行数据连通分析,得到异常根因分析结果;通过自适应风控算法对异常根因分析结果进行实时监测,并配置相应的安全措施进行防御处理。
本发明实施例中,请参考图1所示,为本发明基于人工智能算法的安全事件根因分析方法的步骤流程示意图,在本实例中,所述基于人工智能算法的安全事件根因分析方法的步骤包括:
步骤S1:对安全设备进行告警日志采集,得到安全事件告警日志;利用数据转换算法对安全事件告警日志进行日志数据转换,得到安全事件告警数据;
本发明实施例通过远程日志收集器等设备对安全设备的告警信息进行日志采集,采集安全事件告警、用户访问信息、设备运行状态等日志文件,然后从采集到的日志文件中提取与安全事件告警相关的信息,对提取的信息进行过滤和筛选,剔除与安全事件无关的信息和重复信息,以得到安全事件告警日志,最后通过选择合适的数据转换算法对不同安全设备产生的安全事件告警日志转换为统一的数据格式,最终得到安全事件告警数据。
步骤S2:利用预设的告警特征算法模型对安全事件告警数据进行特征提取,得到安全事件告警特征;通过告警降噪算法对安全事件告警特征进行降噪处理,得到安全事件告警降噪特征;
本发明实施例通过利用预设的基于随机森林的告警特征算法模型对安全事件告警数据进行特征提取,并选择出最佳的特征,以得到安全事件告警特征,然后,通过选择合适的告警降噪算法对得到的安全事件告警特征进行降噪处理,利用选择的告警降噪算法对安全事件告警特征进行滤波和平滑处理,去除由于医疗信息系统故障、电磁波干扰等各种噪声而带来的误差和不稳定性影响,最终得到安全事件告警降噪特征。
步骤S3:利用关键度挖掘算法对安全事件告警降噪特征进行关键特征提取,得到安全事件告警关键特征;载入预设的泛化层次结构集合进行特征合并,得到告警关键特征;并通过聚类权度算法对告警关键特征进行聚类判断,得到聚类检测结果;
本发明实施例通过选择合适的关键度挖掘算法对安全事件告警降噪特征进行关键特征提取,计算每个安全事件告警降噪特征的特征关键度,对计算得到的特征关键度进行排序,按照从大到小的顺序排列,选取排序靠前的特征关键度对应的安全事件告警降噪特征作为关键特征,以得到安全事件告警关键特征。载入预设的泛化层次结构集合,对得到的安全事件告警关键特征进行特征合并,得到告警关键特征。然后通过聚类权度算法对告警关键特征进行聚类判断,最终得到聚类检测结果。
步骤S4:根据聚类检测结果利用安全聚类算法对告警关键特征进行分类处理,得到安全事件类型数据;利用安全事件类型数据构建安全事件树,以生成安全事件序列;
本发明实施例通过得到的聚类检测结果使用安全聚类算法对告警关键特征进行分类处理,根据安全聚类算法的聚类结果,最终得到安全事件类型数据。然后,通过对安全聚类算法得到的安全事件类型数据进行处理,根据安全事件类型数据的类型特征和层次结构构建安全事件树,其中每个节点代表一个安全事件类型,不同节点之间通过父子关系和兄弟关系进行连接。最后,根据得到的安全事件树对每个安全事件类型数据进行序列化操作,将安全事件树的路径转化为安全事件序列中的一条节点记录,将所有安全事件类型节点记录拼接成安全事件完整记录,最终得到安全事件序列。
步骤S5:利用预设的异常检测算法模型对安全事件序列进行异常分析,得到异常事件序列;根据根因诊断算法对异常事件序列进行根因诊断分析,得到异常事件根因数据;
本发明实施例通过利用预设的异常检测算法模型对安全事件序列进行模型训练、验证和评估,以得到优化的异常检测算法模型,然后将安全事件序列重新输入至优化的异常检测算法模型中进行异常检测分析,得到异常事件序列。最后,通过根因诊断算法对提取出来的异常事件序列进行根因诊断分析,推测可能的根因和异常事件的发生原因,并且在该根因诊断算法中,通过引入注意力机制对异常事件序列进行加权,将关注度更高的异常事件序列加权更大,进一步提高根因诊断的准确度,根据根因诊断算法的结果,最终得到异常事件根因数据。
步骤S6:利用图数据库技术对异常事件根因数据进行数据连通分析,得到异常根因分析结果;通过自适应风控算法对异常根因分析结果进行实时监测,并配置相应的安全措施进行防御处理。
本发明实施例通过利用图数据库技术对异常事件根因数据进行数据连通分析,通过连边功能来分析异常事件根因数据之间的关系和连通性,查找异常事件根因数据之间的关联性和相互依赖的程度,深入了解不同的异常事件根因数据之间的关系和规律,以得到异常根因分析结果。最后,通过利用自适应风控算法对异常根因分析结果进行实时监测,及时发现异常事件的发生情况和演化趋势,并根据情况调整相应的安全措施进行防御处理。
优选地,步骤S1包括以下步骤:
步骤S11:对安全设备的告警信息进行日志采集,得到安全事件待处理日志;
本发明实施例通过远程日志收集器等设备对安全设备的告警信息进行日志采集,采集安全事件告警、用户访问信息、设备运行状态等日志文件,最终得到安全事件待处理日志。
步骤S12:对安全事件待处理日志进行告警数据提取处理,得到安全事件告警日志;
本发明实施例通过从得到的安全事件待处理日志中提取与安全事件告警相关的信息,对提取的信息进行过滤和筛选,剔除与安全事件无关的信息和重复信息,最终得到安全事件告警日志。
步骤S13:利用数据转换算法对安全事件告警日志进行日志数据转换,得到安全事件告警数据;
本发明实施例通过选择合适的数据转换算法对不同安全设备产生的安全事件告警日志转换为统一的数据格式,并标准化到医疗信息系统中,最终得到安全事件告警数据。
其中,数据转换算法函数如下所示:
;
式中,为数据转换算法函数,/>为安全事件告警数据,/>为数据转换算法的参数,/>为安全事件告警日志中的第/>个日志样本,/>为正整数,其取值范围为/>,/>为安全事件告警日志中的日志样本数量,/>为高斯函数参数,/>为安全事件告警日志中的第/>个日志样本的权重参数,/>为从时间/>到/>的时间积分项函数,/>为时间积分项函数的调和平滑系数,/>为数据转换算法的修正值。
本发明构建了一个数据转换算法函数的公式,为了将安全事件告警日志转换为特定的数据格式,通过选择一个合适的算法函数公式进行格式转换,该数据转换算法可以将不同安全设备产生的安全事件告警信息转换为特定的格式,并标准化到医疗信息系统中,以便于后续的安全事件处理和分析。另外,由于不同设备可能使用不同的数据格式和协议,因此数据转换可以将各设备的数据格式进行统一,以避免数据不一致性和混乱,从而能够提高数据的高质量提取。该算法函数公式充分考虑了安全事件告警数据,数据转换算法的参数/>,安全事件告警日志中的第/>个日志样本/>,其中/>为正整数,取值范围为/>,安全事件告警日志中的日志样本数量/>,安全事件告警日志中的第/>个日志样本的权重参数/>,高斯函数参数/>,通过以上参数构成了一种高斯变换函数关系,另外,还需要考虑从时间/>到/>的时间积分项函数以及时间积分项函数的调和平滑系数/>对数据转换算法进行优化拟合处理,根据数据转换算法函数/>与以上各参数之间的相互关系构成了一种函数关系/>,实现了对安全事件告警日志的日志数据转换,同时,该算法函数公式中数据转换算法的修正值/>可以根据实际情况进行调整,从而提高数据转换算法的准确性和适用性。
本发明通过实时对医疗信息系统中的安全设备产生的告警信息进行采集,并保存为安全事件待处理日志。通过采集和记录安全事件待处理日志,可以快速发现和定位医疗信息系统中的安全事件,从而为后续的处理提供准确的数据来源。然后,通过对安全事件待处理日志中存储的原始数据进行处理和过滤,提取出有价值的告警信息,并生成安全事件告警日志。与待处理日志相比,安全事件告警日志具有更高的精度和准确度,能够为后续的安全事件处理提供有效的数据支持。最后,通过对安全事件告警日志进行整理,以适应医疗信息系统中的安全事件处理流程和标准,并利用合适的数据转换算法,将安全事件告警日志中的数据转换为医疗信息系统所要求的格式,从而方便后续的安全事件处理和分析。
优选地,步骤S2包括以下步骤:
步骤S21:利用预设的基于随机森林的告警特征算法模型对安全事件告警数据进行特征提取,得到安全事件告警特征;
步骤S22:通过告警降噪算法对安全事件告警特征进行降噪处理,得到告警噪声值;
其中,告警降噪算法的公式如下所示:
;
;
式中,为告警噪声值,/>为安全事件告警特征的特征集合,/>为进行/>函数滤波变换的安全事件告警特征数量,/>和/>为第/>个安全事件告警特征进行/>函数滤波变换的调整参数,/>为进行/>函数滤波变换的安全事件告警特征数量,/>和/>为第/>个安全事件告警特征进行/>函数滤波变换的调整参数,/>为噪声增益系数,/>为安全事件告警特征集合中的特征数量,/>为安全事件告警特征集合中的第/>个安全事件告警特征,/>为高斯函数滤波系数,/>为时间滤波平滑函数,/>为平滑时间,/>为平滑时间参数,/>为平滑处理持续时间,/>为时间滤波平滑输入的安全事件告警特征,/>为告警噪声值的修正值;
步骤S23:根据预设的告警噪声阈值对告警噪声值进行判断,若告警噪声值大于或等于预设的告警噪声阈值时,则剔除该告警噪声值对应的安全事件告警特征,得到安全事件告警降噪特征;若告警噪声值小于预设的告警噪声阈值时,则将安全事件告警特征定义为安全事件告警降噪特征。
作为本发明的一个实施例,参考图2所示,为图1中步骤S2的详细步骤流程示意图,在本实施例中步骤S2包括以下步骤:
步骤S21:利用预设的基于随机森林的告警特征算法模型对安全事件告警数据进行特征提取,得到安全事件告警特征;
本发明实施例通过利用预设的基于随机森林的告警特征算法模型对安全事件告警数据进行特征提取,并选择出最佳的特征,最终得到安全事件告警特征。
步骤S22:通过告警降噪算法对安全事件告警特征进行降噪处理,得到告警噪声值;
本发明实施例通过选择合适的告警降噪算法对安全事件告警特征进行降噪处理,利用选择的告警降噪算法对安全事件告警特征进行滤波和平滑处理,去除由于医疗信息系统故障、电磁波干扰等各种噪声而带来的误差和不稳定性影响,最终得到告警噪声值。
其中,告警降噪算法的公式如下所示:
;
;
式中,为告警噪声值,/>为安全事件告警特征的特征集合,/>为进行/>函数滤波变换的安全事件告警特征数量,/>和/>为第/>个安全事件告警特征进行/>函数滤波变换的调整参数,/>为进行/>函数滤波变换的安全事件告警特征数量,/>和/>为第/>个安全事件告警特征进行/>函数滤波变换的调整参数,/>为噪声增益系数,/>为安全事件告警特征集合中的特征数量,/>为安全事件告警特征集合中的第/>个安全事件告警特征,/>为高斯函数滤波系数,/>为时间滤波平滑函数,/>为平滑时间,/>为平滑时间参数,/>为平滑处理持续时间,/>为时间滤波平滑输入的安全事件告警特征,/>为告警噪声值的修正值;
本发明构建了一个告警降噪算法的公式,为了消除安全事件告警特征中的噪声源对关键特征提取过程准确度的影响,需要对安全事件告警特征进行降噪处理,以得到更加干净、准确的安全事件告警降噪特征,通过该告警降噪算法对安全事件告警特征进行滤波和平滑处理,去除由于医疗信息系统故障、电磁波干扰等各种噪声而带来的误差和不稳定性影响,最终得到更加真实可靠的安全事件告警降噪特征。该算法公式充分考虑了安全事件告警特征的特征集合,进行函数滤波变换的安全事件告警特征数量/>,第/>个安全事件告警特征进行/>函数滤波变换的调整参数/>和/>,进行/>函数滤波变换的安全事件告警特征数量/>,第/>个安全事件告警特征进行/>函数滤波变换的调整参数/>和/>以及噪声增益系数/>,通过以上参数构成了一种噪声增益滤波变换,还考虑了一种高斯函数滤波降噪函数关系/>,其中参数包括安全事件告警特征集合中的特征数量/>,安全事件告警特征集合中的第/>个安全事件告警特征/>,高斯函数滤波系数/>,另外,还需要通过时间滤波平滑函数/>对安全事件告警特征进行时间滤波平滑处理,该函数包括了平滑时间,平滑时间参数/>,平滑处理持续时间/>,时间滤波平滑输入的安全事件告警特征/>,通过以上参数构成了一种积分项函数关系/>,根据告警噪声值/>与各参数之间的相互关联关系构成了该告警降噪算法函数关系:
;
实现了对安全事件告警特征的降噪处理,同时,该算法公式中的告警噪声值的修正值可以根据实际情况进行调整,从而提高告警降噪算法的准确性和适用性。
步骤S23:根据预设的告警噪声阈值对告警噪声值进行判断,若告警噪声值大于或等于预设的告警噪声阈值时,则剔除该告警噪声值对应的安全事件告警特征,得到安全事件告警降噪特征;若告警噪声值小于预设的告警噪声阈值时,则将安全事件告警特征定义为安全事件告警降噪特征。
本发明实施例根据预设的告警噪声阈值,判断计算得到的告警噪声值是否超过预设的告警噪声阈值,当告警噪声值大于或等于预设的告警噪声阈值时,说明该安全事件告警特征的噪声较强,应将该安全事件告警特征从特征集合中剔除,最终得到安全事件告警降噪特征;当告警噪声值小于预设的告警噪声阈值时,则将安全事件告警特征定义为安全事件告警降噪特征。
本发明通过利用预设的基于随机森林的告警特征算法模型对安全事件告警数据进行特征提取,可以提高提取安全事件告警特征的准确性,并降低特征维度,以便后续的模型训练和特征提取。然后,通过选择一个合适的告警降噪算法可以对安全事件告警特征进行滤波和平滑处理,去除由噪声引起的安全事件告警特征误差和波动,提高数据的准确性和可靠性,从而提高后续分析、模型训练和分类的精度。最后,通过设置合适的告警噪声阈值,能够将噪声安全事件告警特征与非噪声安全事件告警特征区分开来,并及时准确的进行降噪操作,当告警降噪算法产生的告警噪声值大于或等于预设的告警噪声阈值时,可将告警噪声值对应的安全事件告警特征剔除,以减少噪声对后续分析和决策的影响。当告警降噪算法产生的告警噪声值小于预设的告警噪声阈值时,则不进行剔除处理,通过对安全事件告警数据进行特征提取和降噪处理,以提高数据的准确性和可靠性,优化后续分析和决策的精度。同时,可以更精准的降低噪声和错误数据的影响,提高整个安全事件根因分析过程的处理效率和准确性。
优选地,步骤S21包括以下步骤:
步骤S211:将安全事件告警数据划分为训练数据集、验证数据集和测试数据集;
步骤S212:构建基于随机森林的告警特征算法模型,其中告警特征算法模型包括模型训练、模型验证和模型评估;
步骤S213:将训练数据集输入至告警特征算法模型进行模型训练,并通过选择合适的损失函数对模型参数进行优化处理,得到验证模型;利用验证模型对验证数据集进行模型验证,以得到测试模型;
其中,损失函数的公式如下所示:
;
式中,为损失函数,/>为模型参数向量,/>为训练数据集中的样本数量,/>为第个样本的权重系数,/>为正整数,其取值范围为/>,/>为随机森林算法的预测函数,为第/>个样本的特征向量,/>为第/>个样本的真实特征标签,/>为正则化项强度的超参数,为正则化项的数量,/>为模型参数向量中的第/>个参数,/>为控制积分项权重的超参数,为积分项的调和平滑参数,/>为积分项函数,/>为积分项函数的数量,/>为损失函数的修正值;
步骤S214:利用测试模型对测试数据集进行模型评估,得到优化的告警特征算法模型;并将安全事件告警数据重新输入至优化的告警特征算法模型进行特征提取,得到安全事件告警特征。
作为本发明的一个实施例,参考图3所示,为图2中步骤S21的详细步骤流程示意图,在本实施例中步骤S21包括以下步骤:
步骤S211:将安全事件告警数据划分为训练数据集、验证数据集和测试数据集;
本发明实施例通过将安全事件告警数据按照一定比例划分为训练数据集、验证数据集和测试数据集,按照划分比例7:2:1将数据集划分为70%的训练数据集、20%的验证数据集和10%的测试数据集。
步骤S212:构建基于随机森林的告警特征算法模型,其中告警特征算法模型包括模型训练、模型验证和模型评估;
本发明实施例根据实际情况,利用随机森林构建告警特征算法模型,该告警特征算法模型包括模型训练、模型验证和模型评估,通过训练数据集对模型进行训练,验证数据集对模型进行验证,同时利用测试数据集对模型进行评估,用来提高告警特征算法模型的性能和精度。
步骤S213:将训练数据集输入至告警特征算法模型进行模型训练,并通过选择合适的损失函数对模型参数进行优化处理,得到验证模型;利用验证模型对验证数据集进行模型验证,以得到测试模型;
本发明实施例通过将划分后的训练数据集输入至告警特征算法模型中进行模型训练,并通过确定合适的随机森林算法的预测函数、权重参数和正则化参数等参数信息,构建合适的损失函数对模型参数进行优化处理,以得到验证模型,利用验证模型对验证数据集进行模型验证,以验证模型的性能,通过不断调整模型的超参数和算法的参数,对模型性能进行优化,最终得到测试模型。
其中,损失函数的公式如下所示:
;
式中,为损失函数,/>为模型参数向量,/>为训练数据集中的样本数量,/>为第个样本的权重系数,/>为正整数,其取值范围为/>,/>为随机森林算法的预测函数,/>为第/>个样本的特征向量,/>为第/>个样本的真实特征标签,/>为正则化项强度的超参数,为正则化项的数量,/>为模型参数向量中的第/>个参数,/>为控制积分项权重的超参数,为积分项的调和平滑参数,/>为积分项函数,/>为积分项函数的数量,/>为损失函数的修正值;
本发明构建了一个损失函数的公式,用于对基于随机森林的告警特征算法模型参数进行调优,在通过运用基于随机森林的告警特征算法模型对训练数据集进行模型训练时,为了帮助模型尽可能地拟合安全事件告警数据,需要选择一个合适的损失函数来作为模型参数优化的指标,该函数公式充分考虑了模型参数向量,训练数据集中的样本数量/>,第/>个样本的权重系数/>,其中/>为正整数,取值范围为/>,随机森林算法的预测函数,第/>个样本的特征向量/>,第/>个样本的真实特征标签/>,通过以上参数构成了一种模型训练结果损失函数关系/>,并通过正则化项强度的超参数,正则化项的数量/>以及模型参数向量中的第/>个参数/>构成了正则化项函数对参数/>进行惩罚来鼓励模型训练结果的稀疏性,另外,还考虑了控制积分项权重的超参数/>,积分项的调和平滑参数/>,积分项函数/>,积分项函数的数量/>,通过以上参数构成了一种调和平滑积分项函数/>,根据损失函数与各参数之间的相互关联关系构成了一种针对模型参数优化处理的损失函数关系,该函数公式实现了对告警特征算法模型参数的调优,同时,通过损失函数的修正值/>的引入,可以针对在模型训练时出现的特殊情况进行调整,进一步提高损失函数的适用性和稳定性,从而提高基于随机森林的告警特征算法模型的泛化能力和鲁棒性。
步骤S214:利用测试模型对测试数据集进行模型评估,得到优化的告警特征算法模型;并将安全事件告警数据重新输入至优化的告警特征算法模型进行特征提取,得到安全事件告警特征。
本发明实施例利用划分后的参数数据集输入至测试模型中进行模型评估,通过计算模型的准确率、召回率、F1值等指标,对模型参数进一步检查和优化处理,获得更高效更准确的优化的告警特征算法模型,同时将安全事件告警数据重新输入至优化的告警特征算法模型进行特征提取,提取安全事件告警数据的有用特征,最终得到安全事件告警特征。
本发明通过将安全事件告警数据划分为训练数据集、验证数据集和测试数据集,能够有效地避免模型过拟合,并验证训练的模型在真实数据上的应用效果。通过构建基于随机森林的告警特征算法模型,其中随机森林算法是一种能够处理高维度和非线性特征的机器学习方法,通过构建多棵决策树并进行集成预测得到最终结果。通过使用基于随机森林的告警特征算法模型,可以有效地提高模型的准确率和鲁棒性。通过选择合适的损失函数和优化算法优化模型参数,能够有效地提高模型的预测准确率。通过利用验证数据集对模型进行验证和调整,可以避免模型的过拟合和欠拟合,提高模型的泛化性能。通过将测试数据集输入至测试模型进行模型评估,在真实场景下测试告警特征算法模型的分类准确性和性能能力,能够帮助判断模型在实际应用中的可行性和效果,并进一步进行模型选择和优化。最后,通过将安全事件告警数据输入至优化的告警特征算法模型进行特征提取,能够得到经过精细化处理和优化的安全事件告警特征,为后续的安全事件分类、识别和处理提供更好的数据支持。
优选地,步骤S3包括以下步骤:
步骤S31:利用关键度挖掘算法对安全事件告警降噪特征进行关键特征挖掘计算,得到特征关键度;
其中,关键度挖掘算法函数如下所示:
;
式中,为关键度挖掘算法函数,/>为特征关键度,/>为安全事件告警降噪特征,/>为安全事件告警降噪特征中的数据项,/>为安全事件告警降噪特征集合,/>为特征频率函数,/>为特征长度函数,/>为特征词频函数,/>为关键度挖掘算法的修正值;
步骤S32:按照从大到小的顺序对特征关键度进行排序,选取排序靠前的特征关键度对应的安全事件告警降噪特征作为关键特征,得到安全事件告警关键特征;
步骤S33:通过预设的泛化层次结构集合对安全事件告警关键特征进行特征合并,并通过聚类权度算法对合并后的安全事件告警关键特征进行聚类判断,得到聚类检测结果。
作为本发明的一个实施例,参考图4所示,为图1中步骤S3的详细步骤流程示意图,在本实施例中步骤S3包括以下步骤:
步骤S31:利用关键度挖掘算法对安全事件告警降噪特征进行关键特征挖掘计算,得到特征关键度;
本发明实施例通过选择合适的关键度挖掘算法和修正值对安全事件告警降噪特征进行关键特征挖掘计算,计算每个安全事件告警降噪特征的关键度,根据选择的关键度挖掘算法和修正值,计算特征频率、特征长度、特征词频等指标,最终得到特征关键度。
其中,关键度挖掘算法函数如下所示:
;
式中,为关键度挖掘算法函数,/>为特征关键度,/>为安全事件告警降噪特征,/>为安全事件告警降噪特征中的数据项,/>为安全事件告警降噪特征集合,/>为特征频率函数,/>为特征长度函数,/>为特征词频函数,/>为关键度挖掘算法的修正值;
本发明构建了一个关键度挖掘算法函数的公式,用于对安全事件告警降噪特征的特征关键度进行关键特征挖掘计算,通过该关键度挖掘算法可以找到安全事件告警降噪特征中的重要特征,从而剔除掉一些重要性较低或与安全事件无关的特征,提高后续处理的效率和精度,同时具有较高关键度的安全事件告警降噪特征不仅可以提高系统预警率和检测效果,还可以使算法对于特定安全事件告警行为产生的噪声和误差具有更好的鲁棒性。该算法函数公式充分考虑了特征关键度,安全事件告警降噪特征/>,安全事件告警降噪特征中的数据项/>,安全事件告警降噪特征集合/>,特征频率函数/>,特征长度函数/>,特征词频函数/>,另外,通过/>对安全事件告警降噪特征中的所有数据项进行加权平均处理,用于归一化安全事件告警降噪特征中每个数据项的重要性,根据关键度挖掘算法函数/>与以上各参数之间的相互关联关系构成了一种函数关系,从而实现了对安全事件告警降噪特征进行关键特征挖掘计算,同时,通过关键度挖掘算法的修正值/>的引入,可以在使用关键度挖掘算法对安全事件告警降噪特征进行关键特征挖掘计算的过程中所出现的特殊情况进行调整,进一步提高关键度挖掘算法的适用性和稳定性,从而提高关键特征提取的准确性。
步骤S32:按照从大到小的顺序对特征关键度进行排序,选取排序靠前的特征关键度对应的安全事件告警降噪特征作为关键特征,得到安全事件告警关键特征;
本发明实施例通过对计算得到的特征关键度进行排序,按照从大到小的顺序排列,选取排序靠前的特征关键度对应的安全事件告警降噪特征作为关键特征,最终得到安全事件告警关键特征。
步骤S33:通过预设的泛化层次结构集合对安全事件告警关键特征进行特征合并,并通过聚类权度算法对合并后的安全事件告警关键特征进行聚类判断,得到聚类检测结果。
本发明实施例根据数据特点和实际需求,选择合适的泛化层次结构集合和聚类权度算法,用于特征的泛化和聚类判断。根据预设的泛化层次结构集合,对选取的安全事件告警关键特征进行特征合并,得到合并后的安全事件告警关键特征。然后通过聚类权度算法对合并后的安全事件告警关键特征进行聚类判断,得到聚类检测结果,判断是否需要继续聚类,根据聚类检测结果,进行后续聚类分析和处理。
本发明通过关键度挖掘算法对安全事件告警降噪特征进行关键特征挖掘计算,可以得到特征关键度。关键度挖掘算法利用特征的词频、特征频率和特征长度等信息,可以计算安全事件告警降噪特征的重要程度。通过该算法提取出安全事件告警降噪特征的关键度,可以帮助优化后续的特征选择和聚类算法的分类准确率。按照特征关键度从大到小对安全事件告警降噪特征进行排序,可以选取特征关键度高的安全事件告警降噪特征作为下一步特征选择的依据,从而提高关键特征提取的准确性和精确性。通过预设的泛化层次结构集合可以帮助将安全事件告警关键特征进行层次化组织,并将高维度的特征空间转化为低维度的特征子空间,从而降低计算复杂度和提高模型的预测准确度。通过特征合并,可以将具有相似特性的特征进行组合,设计出更具代表性和区分度的安全事件告警关键特征。最后,通过聚类权度算法对合并后的安全事件告警关键特征进行聚类判断,可以对安全事件告警关键特征进行聚类权度计算,并识别出是否需要继续进行聚类,根据聚类算法找出当前泛化程度最小的属性,能够加速告警处理和应对,并有效地提高安全事件的识别准确率和分类效果。
优选地,步骤S33包括以下步骤:
步骤S331:根据安全事件告警关键特征构建泛化层次结构集合,并通过泛化层次结构集合制定相应的泛化规则,根据泛化规则对安全事件告警关键特征进行泛化合并,得到告警关键特征;
步骤S332:通过聚类权度算法对告警关键特征进行权重计算,得到聚类权度;
其中,聚类权度算法函数如下所示:
;
式中,为第/>个告警关键特征的聚类权度,/>为告警关键特征的特征数量,/>为告警关键特征,/>为第/>个告警关键特征与第/>个告警关键特征之间的距离,/>为第/>个告警关键特征与第/>个告警关键特征之间的距离,/>为第/>个告警关键特征与第/>个告警关键特征之间的距离,/>、/>、/>和/>均为调和平滑超参数,/>为指数函数,/>为聚类权度的修正值;
步骤S333:根据预设的权度阈值对聚类权度进行判断,若聚类权度大于或等于预设的权度阈值时,则获得继续聚类信号;若聚类权度小于预设的权度阈值时,则获得迭代泛化信号,直至聚类权度大于或等于预设的权度阈值,以得到聚类检测结果。
作为本发明的一个实施例,参考图5所示,为图4中步骤S33的详细步骤流程示意图,在本实施例中步骤S33包括以下步骤:
步骤S331:根据安全事件告警关键特征构建泛化层次结构集合,并通过泛化层次结构集合制定相应的泛化规则,根据泛化规则对安全事件告警关键特征进行泛化合并,得到告警关键特征;
本发明实施例根据安全事件告警关键特征构建泛化层次结构集合,将安全事件告警关键特征按照泛化层次结构进行分类,每个分类即为一个泛化层,将所有的泛化层级联合起来构成泛化层次结构集合。针对构建的泛化层次结构集合,制定相应的泛化规则,即对同一泛化层内的关键特征进行泛化合并。根据制定的泛化规则,对同一泛化层内的安全事件告警关键特征进行泛化合并,最终得到告警关键特征。
步骤S332:通过聚类权度算法对告警关键特征进行权重计算,得到聚类权度;
本发明实施例通过选择合适的距离度量方式、调和平滑超参数以及修正值构建聚类权度算法,利用构建的聚类权度算法对告警关键特征进行权度计算,最终得到聚类权度。
其中,聚类权度算法函数如下所示:
;
式中,为第/>个告警关键特征的聚类权度,/>为告警关键特征的特征数量,/>为告警关键特征,/>为第/>个告警关键特征与第/>个告警关键特征之间的距离,/>为第/>个告警关键特征与第/>个告警关键特征之间的距离,/>为第/>个告警关键特征与第/>个告警关键特征之间的距离,/>、/>、/>和/>均为调和平滑超参数,/>为指数函数,/>为聚类权度的修正值;
本发明构建了一个聚类权度算法函数的公式,用于对告警关键特征进行权度计算,计算得到聚类权度,该聚类权度算法通过计算不同特征之间的距离来多角度评估不同特征之间的相似度,从而得到较好的聚类检测效果,另外,通过指数函数能够消除无关特征和远距离特征的影响,使得聚类检测结果更加准确,避免了不必要的干扰。通过对不同特征之间的距离进行加权,对所有特征进行均衡处理,避免了某些特征对聚类检测结果的影响过大。通过选择合适的平滑超参数可以减少相似度计算的计算量,提高算法的效率。该算法函数公式充分考虑了告警关键特征,告警关键特征的特征数量/>,第/>个告警关键特征与第/>个告警关键特征之间的距离/>,第/>个告警关键特征与第/>个告警关键特征之间的距离/>,第/>个告警关键特征与第/>个告警关键特征之间的距离/>,调和平滑超参数、/>、/>和/>,根据第/>个告警关键特征的聚类权度/>以及指数函数/>与以上各参数之间的相互关联关系构成了一种函数关系,从而实现了告警关键特征的权度计算,同时,通过聚类权度的修正值/>的引入可以根据实际情况进行调整,从而提高聚类权度算法的适用性和稳定性。
步骤S333:根据预设的权度阈值对聚类权度进行判断,若聚类权度大于或等于预设的权度阈值时,则获得继续聚类信号;若聚类权度小于预设的权度阈值时,则获得迭代泛化信号,直至聚类权度大于或等于预设的权度阈值,以得到聚类检测结果。
本发明实施例根据预设的权度阈值对计算得到的聚类权度进行判断,判断是继续聚类还是迭代泛化,若聚类权度大于或等于预设的权度阈值时,则获得继续聚类信号,通过继续聚类信号执行后续的安全聚类算法对告警关键特征进行聚类分类处理;若聚类权度小于预设的权度阈值时,则获得迭代泛化信号,根据迭代泛化信号进行迭代泛化过程,直至得到的聚类权度大于或等于预设的权度阈值,最终得到聚类检测结果。
本发明通过构建泛化层次结构集合,并根据泛化层次结构集合制定的泛化规则对告警关键特征进行泛化合并,可以更加精细化地处理不同关键特征之间的关联性。通过聚类权度算法对告警关键特征进行权重计算,可以更加准确地评估不同关键特征之间的相似度,从而提高聚类检测的精度。然后,通过预设的权度阈值对聚类权度进行判断,可以快速确定是否需要继续聚类,从而提高聚类检测的效率。当聚类权度小于预设的权度阈值时,会触发迭代泛化信号,进行迭代泛化处理,直至聚类权度大于或等于预设的权度阈值,能够减少了对错误聚类结果的无效计算,从而提高了聚类检测的效率。该算法可以处理各种类型的告警关键特征,能够为后续的安全事件检测提供数据来源,从而提高安全事件检测的全面性。通过泛化合并和聚类检测的过程,可以对告警关键特征进行聚类检测处理,能够为后续的聚类分析和根因诊断处理提供数据基础来源,从而提高数据的处理效率和分析准确率。
优选地,步骤S4包括以下步骤:
步骤S41:根据判断聚类检测结果为继续聚类信号时,利用安全聚类算法对告警关键特征进行分类处理,得到安全事件类型数据;
其中,安全聚类算法函数如下所示:
;
;
式中,为安全聚类算法函数,/>为聚类的簇数,/>为第/>个簇类中心,/>为正整数,其取值范围为/>,/>为告警关键特征集合,/>为簇类中心集合,/>为告警关键特征集合中的第/>个簇中心点,/>为告警关键特征集合中第/>个告警关键特征,/>为告警关键特征集合中第/>个告警关键特征,/>为告警关键特征集合中的告警关键特征数量,/>为第/>个告警关键特征与第/>个簇中心点的距离加权参数,/>为调和平滑参数,/>为告警关键特征聚类中心修正函数,/>为各个告警关键特征之间的距离加权参数,/>为安全聚类算法函数的修正值;
步骤S42:根据安全事件类型数据的类型结构和层次进行类型节点分裂,得到安全事件类型节点,以生成安全事件树;
步骤S43:将安全事件类型数据分配至相应的安全事件类型节点中,通过安全事件树建立网络控制流,根据网络控制流对安全事件类型节点进行序列化操作,以生成安全事件序列。
作为本发明的一个实施例,参考图6所示,为图1中步骤S4的详细步骤流程示意图,在本实施例中步骤S4包括以下步骤:
步骤S41:根据判断聚类检测结果为继续聚类信号时,利用安全聚类算法对告警关键特征进行分类处理,得到安全事件类型数据;
本发明实施例通过判断得到的聚类检测结果,当该聚类检测结果为继续聚类信号时,使用安全聚类算法对告警关键特征进行分类处理,将多个告警关键特征合并在告警关键特征集合中,并初始化设置聚类的簇数、调和平滑参数、距离加权参数、修正值、簇类中心集合等参数,根据随机选择方法设置初始簇类中心,然后使用距离度量函数计算聚类中心与告警关键特征之间的相似性距离,对于每个告警关键特征,通过计算告警关键特征与簇中心点之间的距离,将其归属到离其最近的聚类中心所在的簇,形成初始簇类,根据安全聚类算法函数求解最优的簇类中心和调和平滑参数,利用最优的簇类中心和调和平滑参数对每个告警关键特征,重新计算其应该属于的簇类,形成新的簇类集合,然后根据修正值更新安全聚类算法函数,进行再次求解,最终得到安全事件类型数据。
其中,安全聚类算法函数如下所示:
;/>
;
式中,为安全聚类算法函数,/>为聚类的簇数,/>为第/>个簇类中心,/>为正整数,其取值范围为/>,/>为告警关键特征集合,/>为簇类中心集合,/>为告警关键特征集合中的第/>个簇中心点,/>为告警关键特征集合中第/>个告警关键特征,/>为告警关键特征集合中第/>个告警关键特征,/>为告警关键特征集合中的告警关键特征数量,/>为第/>个告警关键特征与第/>个簇中心点的距离加权参数,/>为调和平滑参数,/>为告警关键特征聚类中心修正函数,/>为各个告警关键特征之间的距离加权参数,/>为安全聚类算法函数的修正值;
本发明构建了一个安全聚类算法函数的公式,用于对告警关键特征进行聚类处理,以实现异常检测和事件分析的目的。具体来说,该算法通过计算聚类中心点与告警关键特征之间的距离,将告警事件分配到相应的簇类中,形成安全事件类型数据。同时,算法还使用调和平滑参数和距离加权参数,对聚类结果进行后付处理,使得聚类结果更加精确和有意义。该算法函数公式充分考虑了三个部分,第一部分使用告警关键特征之间的距离度量函数关系计算相似性距离,其中包括聚类的簇数/>,第个簇类中心/>,其中/>为正整数,取值范围为/>,告警关键特征集合/>,簇类中心集合/>;第二部分通过计算告警关键特征与聚类中心之间的距离,以确定告警关键特征属于哪个簇类,通过告警关键特征集合中的第/>个簇中心点/>,告警关键特征集合中第/>个告警关键特征/>,告警关键特征集合中的告警关键特征数量/>,第/>个告警关键特征与第/>个簇中心点的距离加权参数/>,调和平滑参数/>,根据以上参数构成了一种聚类中心距离函数关系;第三部分在聚类后的结果中,通过告警关键特征聚类中心修正函数对聚类中心进行偏移修正,以减小聚类规模和提高聚类分布的均匀性,根据告警关键特征集合中的告警关键特征数量/>,告警关键特征矩阵中第/>个告警关键集合/>,告警关键特征集合中第/>个告警关键特征/>,各个告警关键特征之间的距离加权参数/>以及调和平滑参数/>构成了该函数关系/>,根据安全聚类算法函数/>与以上各参数之间的相互关系构成了一种函数关系,实现了对告警关键特征的聚类分类处理,同时,通过安全聚类算法函数的修正值/>的引入可以根据实际情况进行调整,从而提高安全聚类算法的适用性和稳定性。
步骤S42:根据安全事件类型数据的类型结构和层次进行类型节点分裂,得到安全事件类型节点,以生成安全事件树;
本发明实施例通过对安全聚类算法得到的安全事件类型数据进行处理,将其按照一定的类别结构及层次关系进行分析和整理,结合安全事件类型数据的结构及分类特征,确定每个安全事件类型节点的名称、描述、图标等信息,根据安全事件类型节点的类型特征和层次结构将其分裂成若干子节点,采用自底向上的层次方法进行分裂,将安全事件类型节点按照其层次关系进行组合,以生成安全事件树,其中每个节点代表一个安全事件类型,不同节点之间通过父子关系和兄弟关系进行连接。
步骤S43:将安全事件类型数据分配至相应的安全事件类型节点中,通过安全事件树建立网络控制流,根据网络控制流对安全事件类型节点进行序列化操作,以生成安全事件序列。
本发明实施例通过将采集到的安全事件数据按照其所属安全事件类型分配至相应的安全事件类型节点中,根据安全事件树建立网络控制流,定义每个安全事件类型节点之间的控制流转关系,以保证安全事件类型序列的生成满足安全事件处理的逻辑需求,根据网络控制流对每个安全事件类型节点进行序列化操作,将安全事件树的路径转化为安全事件序列中的一条节点记录,将所有安全事件类型节点记录拼接成安全事件完整记录,最终得到安全事件序列。
本发明根据判断得到聚类检测结果为继续聚类信号时,通过安全聚类算法对告警关键特征进行分类处理,能够将具有相似特征的安全事件告警数据分类至同一类别中,得到安全事件类型数据。安全聚类算法有利于发现告警事件之间的关联性,更好地进行事件分类和异常检测。该安全聚类算法能够从多个角度评估不同特征之间的相似度,从而得到较好的聚类效果。另外,该算法不容易受到噪声数据和异常值的干扰,具有较强的鲁棒性。通过在安全聚类算法中设置合适的平滑参数和距离加权参数能够消除无关特征和远距离特征的影响,使得聚类结果更加准确,避免了不必要的干扰。然后,根据安全事件类型数据的类型结构和层次进行类型节点分裂,得到安全事件类型节点,以生成安全事件树。安全事件树能够清晰地展示不同类型安全事件之间的层次结构和关联性,在异常事件排查和分析中起到重要的辅助作用。将相似的安全事件类型数据分配到同一个节点中,可以减少安全事件类型分类的计算量,提高安全事件类型分类的效率,还可以提高安全事件类型分类的准确性,避免不同的安全事件类型被错误地分类到同一个节点中。最后,将安全事件类型数据分配至相应的安全事件类型节点中,通过安全事件树建立网络控制流,根据网络控制流对安全事件类型节点进行序列化操作,可以生成直观的安全事件序列,提高了安全事件的可视化效果,按照网络控制流的顺序对安全事件类型节点进行序列化,可以提高安全事件的处理效率,避免不必要的重复处理。安全事件序列是根据安全事件树中的结构和层次关系,将不同类型的安全事件顺序排列形成的序列,能够为安全事件的追溯和根因分析提供有力的支持。
优选地,步骤S5包括以下步骤:
步骤S51:对安全事件序列进行异常数据采集,得到安全事件待检测序列;
步骤S52:构建基于递归神经网络的异常检测算法模型,将安全事件待检测序列输入至异常检测算法模型中进行模型训练,并通过交叉验证方法进行验证和优化模型,以得到优化的异常检测算法模型;
步骤S53:将安全事件待检测序列重新输入至优化的异常检测算法模型中进行异常分析,得到异常事件序列;
步骤S54:根据根因诊断算法对异常事件序列进行根因诊断分析,并引入注意力机制对异常事件序列添加关注权重,得到异常根因度;
其中,根因诊断算法函数如下所示:
;
式中,为根因诊断算法函数,/>为异常根因度,/>为根因诊断持续时间间隔,/>为根因诊断持续时间,/>为残差函数,/>为Laplace反变换函数,/>为根因诊断传递函数,/>为根因诊断关注因子,/>为Laplace反变换持续时间间隔,/>为Laplace反变换持续时间,/>为根因诊断算法的修正值;
步骤S55:按照从大到小的顺序将异常根因度进行排序,选取排序靠前的异常根因度对应的异常事件序列作为异常事件根因序列,并对异常事件根因序列进行根因数据采集,得到异常事件根因数据。
作为本发明的一个实施例,参考图7所示,为图1中步骤S5的详细步骤流程示意图,在本实施例中步骤S5包括以下步骤:
步骤S51:对安全事件序列进行异常数据采集,得到安全事件待检测序列;
本发明实施例通过对得到的安全事件序列进行异常数据采集,采集安全事件序列中与安全事件异常相关的数据,最终得到安全事件待检测序列。
步骤S52:构建基于递归神经网络的异常检测算法模型,将安全事件待检测序列输入至异常检测算法模型中进行模型训练,并通过交叉验证方法进行验证和优化模型,以得到优化的异常检测算法模型;
本发明实施例通过使用递归神经网络深度学习算法构建异常检测算法模型,对安全事件待检测序列进行训练和验证,并通过交叉验证方法对训练后的异常检测算法模型进行模型参数优化,将模型参数达到最优效果,最终得到优化的异常检测算法模型。
步骤S53:将安全事件待检测序列重新输入至优化的异常检测算法模型中进行异常分析,得到异常事件序列;
本发明实施例通过将安全事件待检测序列重新输入至优化的异常检测算法模型中进行模型异常分析,将安全事件待检测序列中发生异常的序列提取出来,最终得到异常事件序列。
步骤S54:根据根因诊断算法对异常事件序列进行根因诊断分析,并引入注意力机制对异常事件序列添加关注权重,得到异常根因度;
本发明实施例通过利用根因诊断算法对提取出来的异常事件序列进行根因诊断分析,推测可能的根因和异常事件的发生原因。其中,根因诊断算法函数中包含了残差函数、Laplace反变换函数、根因诊断传递函数、根因诊断关注因子、修正值等参数,通过调整这些参数可以得到更为准确的根因诊断结果,并且在该根因诊断算法中,通过引入注意力机制对异常事件序列进行加权,将关注度更高的异常事件序列加权更大,进一步提高根因诊断的准确度,根据根因诊断算法的结果,最终通过计算异常根因度来评估根因诊断的可靠性和重要性。
其中,根因诊断算法函数如下所示:
;/>
式中,为根因诊断算法函数,/>为异常根因度,/>为根因诊断持续时间间隔,/>为根因诊断持续时间,/>为残差函数,/>为Laplace反变换函数,/>为根因诊断传递函数,/>为根因诊断关注因子,/>为Laplace反变换持续时间间隔,/>为Laplace反变换持续时间,/>为根因诊断算法的修正值;
本发明构建了一个根因诊断算法函数的公式,该根因诊断算法通过计算残差函数与根因诊断传递函数的积分值,得出异常根因度,进而对异常事件序列进行根因诊断分析。同时,该算法还引入了关注因子和Laplace反变换函数等关键因素,以优化算法效果。该算法函数公式充分考虑了异常根因度,根因诊断持续时间间隔/>,根因诊断持续时间/>,残差函数/>,Laplace反变换函数/>,根因诊断传递函数/>,根因诊断关注因子/>,Laplace反变换持续时间间隔/>,Laplace反变换持续时间/>,根据根因诊断算法函数/>与以上各参数之间的相互关联关系构成了一种函数关系,实现了对异常事件序列的根因诊断分析,同时,通过根因诊断算法函数的修正值/>的引入可以根据实际情况进行调整,从而提高根因诊断算法的适用性和稳定性。
步骤S55:按照从大到小的顺序将异常根因度进行排序,选取排序靠前的异常根因度对应的异常事件序列作为异常事件根因序列,并对异常事件根因序列进行根因数据采集,得到异常事件根因数据。
本发明实施例按照异常根因度从大到小的顺序对异常事件序列进行排序,选取排序靠前的异常事件序列作为异常事件根因序列,对异常事件根因序列进行根因数据采集,收集相关的系统日志、网络流量、用户访问等信息,以分析和诊断根因数据,最终得到异常事件根因数据。
本发明通过对安全事件序列进行异常数据采集可以有效地筛选出异常数据,提高后续的模型训练和异常检测的准确性和效率。通过构建基于递归神经网络的异常检测算法模型,能够有效地对安全事件序列进行异常检测和识别,并通过交叉验证方法进行验证和优化模型,以得到最优的异常检测算法模型,提高了异常检测的准确性和效率。然后,将安全事件待检测序列重新输入至优化的异常检测算法模型中进行异常分析,能够快速地识别出异常事件序列,为后续的根因诊断提供了数据源。根据根因诊断算法对异常事件序列进行根因诊断分析,并引入注意力机制对异常事件序列添加关注权重,能够快速地确定异常根因度,并为后续的异常根因分析提供了数据基础。最后,按照从大到小的顺序将异常根因度进行排序,选取排序靠前的异常根因度对应的异常事件序列作为异常事件根因序列,并对异常事件根因序列进行根因数据采集,能够快速地确定异常根因,为后续的防御和修复提供了参考依据。
优选地,步骤S6包括以下步骤:
步骤S61:根据异常事件根因数据构建图数据库,利用图数据库的连边功能分析不同异常事件根因数据之间的连通性,得到连通性分析结果;
本发明实施例通过异常事件根因数据构建图数据库,将每个异常事件根因数据作为节点,并通过连边来表示异常事件根因数据之间的关系和连通性,利用图数据库的连边功能对不同的异常事件根因数据进行连通性分析,查找节点之间的关联性和相互依赖的程度,深入了解不同的异常事件根因数据之间的关系和规律,最终得到连通性分析结果。
步骤S62:根据连通性分析结果对异常事件根因数据进行关联性分析,得到异常根因分析结果;
本发明实施例在连通性分析的基础上,根据连通性分析结果对异常事件根因数据进行关联性分析,将相关的异常事件根因数据进行组合和合并,从多个异常事件根因数据中挖掘出它们之间的共同点和关联性,发现潜在的安全威胁和安全隐患,最终得到异常根因分析结果。
步骤S63:利用自适应风控算法对异常根因分析结果进行实时监测,并配置相应的安全措施进行防御处理;
本发明实施例通过利用自适应风控算法对异常根因分析结果进行实时监测,可以及时发现异常事件的发生情况和演化趋势,并根据情况调整相应的安全措施进行防御处理。
其中,自适应风控算法函数如下所示:
式中,为自适应风控算法函数,/>为最大风控承受度,/>为最小风控承受度,/>为风控调整因子,/>为当前的风控承受度,/>为预期收益率,/>为预期波动率。
本发明构建了一个自适应风控算法函数的公式,该自适应风控算法能够实时监测异常根因分析结果,自动识别风险事件,并根据风险级别及其相关影响因素实时判断风险程度,进一步配置相应的安全措施进行防御处理,从而增强安全管理性能,快速解决银行网络终端数据泄密问题。该算法函数公式通过风控调整因子,预期收益率/>以及预期波动率构成了一种当前风控承受度的判断关系/>,若当前的风控承受度/>大于判断关系/>时,当前的风险级别由预设的最大风控承受度/>进行判断,若当前的风控承受度/>小于判断关系/>时,当前的风险级别由预设的最小风控承受度/>进行判断,若当前的风控承受度/>等于判断关系/>时,当前的风险级别由函数关系/>进行判断,根据自适应风控算法函数/>与以上各判断关系之间的相互关系构成了一种函数关系:
从而通过该自适应风控算法对异常根因分析结果进行实时监测和风险事件自动响应,能够更快速地避免风险,并配置相应的安全措施对银行网络终端进行防御处理,以提高安全事件防御机制的可靠性。
本发明通过基于图数据库的连通性分析能够全面分析不同异常事件根因数据之间的关系,从而得到准确的连通性分析结果,进一步提高异常事件根因分析的准确性。利用图数据库的连边功能可以有效优化异常事件根因分析的时间复杂度,提高分析速度,能够更快地进行异常事件根因分析,从而及时发现问题,保障系统的稳定运行。通过连通性分析和关联性分析得到的异常根因分析结果,能够明确展示异常事件根因的关系,提高异常事件根因分析的可解释性,便于后续的问题处理和优化。通过实时监测异常根因分析结果并配置相应的安全措施进行防御处理,能够更为直接、快速地响应和处理安全问题,提高安全事件防御机制的可靠性。
优选地,本发明还提供了一种基于人工智能算法的安全事件根因分析系统,包括:
至少一个处理器;以及,
与至少一个处理器通信连接的存储器;其中,
存储器存储有可被至少一个处理器执行的计算机程序,计算机程序被至少一个处理器执行,以使至少一个处理器能够执行如上任一项所述的基于人工智能算法的安全事件根因分析方法。
综上所述,本发明提供了一种基于人工智能算法的安全事件根因分析系统,该系统能够实现本发明所述任意一种基于人工智能算法的安全事件根因分析方法,用于联合存储器、处理器及存储器上运行的计算机程序之间的操作实现一种基于人工智能算法的安全事件根因分析方法,系统内部结构互相协作,该安全事件根因分析系统通过采用高级算法和模型精细化分析安全事件,更加全面、准确地确定安全事件的根因,从而提高安全事件分析的精度。通过对安全事件告警数据进行分析,提高安全事件预警的敏锐度,快速预警可能发生的安全风险,可以帮助安全团队全面、准确地管理安全事件,从而更好地控制和预防安全事件的发生。基于人工智能算法的安全事件根因分析系统可以快速响应安全事件,能够提高安全事件检测流程的稳定性和可靠性,为安全团队提供更科学、合理的应急响应流程,进一步提高安全保障能力。
因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在申请文件的等同要件的含义和范围内的所有变化涵括在本发明内。
以上所述仅是本发明的具体实施方式,使本领域技术人员能够理解或实现本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所发明的原理和新颖特点相一致的最宽的范围。
Claims (7)
1.一种基于人工智能算法的安全事件根因分析方法,其特征在于,包括以下步骤:
步骤S1:对安全设备进行告警日志采集,得到安全事件告警日志;利用数据转换算法对安全事件告警日志进行日志数据转换,得到安全事件告警数据;
步骤S2:利用预设的告警特征算法模型对安全事件告警数据进行特征提取,得到安全事件告警特征;通过告警降噪算法对安全事件告警特征进行降噪处理,得到安全事件告警降噪特征;
步骤S3:利用关键度挖掘算法对安全事件告警降噪特征进行关键特征提取,得到安全事件告警关键特征;载入预设的泛化层次结构集合进行特征合并,得到告警关键特征;并通过聚类权度算法对告警关键特征进行聚类判断,得到聚类检测结果;步骤S3包括以下步骤:
步骤S31:利用关键度挖掘算法对安全事件告警降噪特征进行关键特征挖掘计算,得到特征关键度;
其中,关键度挖掘算法函数如下所示:
;
式中,为关键度挖掘算法函数,/>为特征关键度,/>为安全事件告警降噪特征,/>为安全事件告警降噪特征中的数据项,/>为安全事件告警降噪特征集合,/>为特征频率函数,/>为特征长度函数,/>为特征词频函数,/>为关键度挖掘算法的修正值;
步骤S32:按照从大到小的顺序对特征关键度进行排序,选取排序靠前的特征关键度对应的安全事件告警降噪特征作为关键特征,得到安全事件告警关键特征;
步骤S33:通过预设的泛化层次结构集合对安全事件告警关键特征进行特征合并,并通过聚类权度算法对合并后的安全事件告警关键特征进行聚类判断,得到聚类检测结果,步骤S33包括以下步骤:
步骤S331:根据安全事件告警关键特征构建泛化层次结构集合,并通过泛化层次结构集合制定相应的泛化规则,根据泛化规则对安全事件告警关键特征进行泛化合并,得到告警关键特征;
步骤S332:通过聚类权度算法对告警关键特征进行权重计算,得到聚类权度;
其中,聚类权度算法函数如下所示:
;
式中,为第/>个告警关键特征的聚类权度,/>为告警关键特征的特征数量,/>为告警关键特征,/>为第/>个告警关键特征与第/>个告警关键特征之间的距离,/>为第/>个告警关键特征与第/>个告警关键特征之间的距离,/>为第/>个告警关键特征与第/>个告警关键特征之间的距离,/>、/>、/>和/>均为调和平滑超参数,/>为指数函数,/>为聚类权度的修正值;
步骤S333:根据预设的权度阈值对聚类权度进行判断,若聚类权度大于或等于预设的权度阈值时,则获得继续聚类信号;若聚类权度小于预设的权度阈值时,则获得迭代泛化信号,直至聚类权度大于或等于预设的权度阈值,以得到聚类检测结果;
步骤S4:根据聚类检测结果利用安全聚类算法对告警关键特征进行分类处理,得到安全事件类型数据;利用安全事件类型数据构建安全事件树,以生成安全事件序列;
步骤S5:利用预设的异常检测算法模型对安全事件序列进行异常分析,得到异常事件序列;根据根因诊断算法对异常事件序列进行根因诊断分析,得到异常事件根因数据;
步骤S6:利用图数据库技术对异常事件根因数据进行数据连通分析,得到异常根因分析结果;通过自适应风控算法对异常根因分析结果进行实时监测,并配置相应的安全措施进行防御处理;步骤S6包括以下步骤:
步骤S61:根据异常事件根因数据构建图数据库,利用图数据库的连边功能分析不同异常事件根因数据之间的连通性,得到连通性分析结果;
步骤S62:根据连通性分析结果对异常事件根因数据进行关联性分析,得到异常根因分析结果;
步骤S63:利用自适应风控算法对异常根因分析结果进行实时监测,并配置相应的安全措施进行防御处理;
其中,自适应风控算法函数如下所示:
式中,为自适应风控算法函数,/>为最大风控承受度,/>为最小风控承受度,/>为风控调整因子,/>为当前的风控承受度,/>为预期收益率,/>为预期波动率。
2.根据权利要求1所述的基于人工智能算法的安全事件根因分析方法,其特征在于,步骤S1包括以下步骤:
步骤S11:对安全设备的告警信息进行日志采集,得到安全事件待处理日志;
步骤S12:对安全事件待处理日志进行告警数据提取处理,得到安全事件告警日志;
步骤S13:利用数据转换算法对安全事件告警日志进行日志数据转换,得到安全事件告警数据;
其中,数据转换算法函数如下所示:
;
式中,为数据转换算法函数,/>为安全事件告警数据,/>为数据转换算法的参数,/>为安全事件告警日志中的第/>个日志样本,/>为正整数,其取值范围为,/>为安全事件告警日志中的日志样本数量,/>为高斯函数参数,/>为安全事件告警日志中的第/>个日志样本的权重参数,/>为从时间/>到/>的时间积分项函数,/>为时间积分项函数的调和平滑系数,/>为数据转换算法的修正值。
3.根据权利要求1所述的基于人工智能算法的安全事件根因分析方法,其特征在于,步骤S2包括以下步骤:
步骤S21:利用预设的基于随机森林的告警特征算法模型对安全事件告警数据进行特征提取,得到安全事件告警特征;
步骤S22:通过告警降噪算法对安全事件告警特征进行降噪处理,得到告警噪声值;
其中,告警降噪算法的公式如下所示:
;
;
式中,为告警噪声值,/>为安全事件告警特征的特征集合,/>为进行/>函数滤波变换的安全事件告警特征数量,/>和/>为第/>个安全事件告警特征进行/>函数滤波变换的调整参数,/>为进行/>函数滤波变换的安全事件告警特征数量,/>和/>为第/>个安全事件告警特征进行/>函数滤波变换的调整参数,/>为噪声增益系数,/>为安全事件告警特征集合中的特征数量,/>为安全事件告警特征集合中的第/>个安全事件告警特征,/>为高斯函数滤波系数,/>为时间滤波平滑函数,/>为平滑时间,/>为平滑时间参数,/>为平滑处理持续时间,为时间滤波平滑输入的安全事件告警特征,/>为告警噪声值的修正值;
步骤S23:根据预设的告警噪声阈值对告警噪声值进行判断,若告警噪声值大于或等于预设的告警噪声阈值时,则剔除该告警噪声值对应的安全事件告警特征,得到安全事件告警降噪特征;若告警噪声值小于预设的告警噪声阈值时,则将安全事件告警特征定义为安全事件告警降噪特征。
4.根据权利要求3所述的基于人工智能算法的安全事件根因分析方法,其特征在于,步骤S21包括以下步骤:
步骤S211:将安全事件告警数据划分为训练数据集、验证数据集和测试数据集;
步骤S212:构建基于随机森林的告警特征算法模型,其中告警特征算法模型包括模型训练、模型验证和模型评估;
步骤S213:将训练数据集输入至告警特征算法模型进行模型训练,并通过选择损失函数对模型参数进行优化处理,得到验证模型;利用验证模型对验证数据集进行模型验证,以得到测试模型;
其中,损失函数的公式如下所示:
;
式中,为损失函数,/>为模型参数向量,/>为训练数据集中的样本数量,/>为第/>个样本的权重系数,/>为正整数,其取值范围为/>,/>为随机森林算法的预测函数,/>为第/>个样本的特征向量,/>为第/>个样本的真实特征标签,/>为正则化项强度的超参数,/>为正则化项的数量,/>为模型参数向量中的第/>个参数,/>为控制积分项权重的超参数,/>为积分项的调和平滑参数,/>为积分项函数,/>为积分项函数的数量,/>为损失函数的修正值;
步骤S214:利用测试模型对测试数据集进行模型评估,得到优化的告警特征算法模型;并将安全事件告警数据重新输入至优化的告警特征算法模型进行特征提取,得到安全事件告警特征。
5.根据权利要求1所述的基于人工智能算法的安全事件根因分析方法,其特征在于,步骤S4包括以下步骤:
步骤S41:根据判断聚类检测结果为继续聚类信号时,利用安全聚类算法对告警关键特征进行分类处理,得到安全事件类型数据;
其中,安全聚类算法函数如下所示:
;
;
式中,为安全聚类算法函数,/>为聚类的簇数,/>为第/>个簇类中心,/>为正整数,其取值范围为/>,/>为告警关键特征集合,/>为簇类中心集合,/>为告警关键特征集合中的第个簇中心点,/>为告警关键特征集合中第/>个告警关键特征,/>为告警关键特征集合中第个告警关键特征,/>为告警关键特征集合中的告警关键特征数量,/>为第/>个告警关键特征与第/>个簇中心点的距离加权参数,/>为调和平滑参数,/>为告警关键特征聚类中心修正函数,/>为各个告警关键特征之间的距离加权参数,/>为安全聚类算法函数的修正值;
步骤S42:根据安全事件类型数据的类型结构和层次进行类型节点分裂,得到安全事件类型节点,以生成安全事件树;
步骤S43:将安全事件类型数据分配至相应的安全事件类型节点中,通过安全事件树建立网络控制流,根据网络控制流对安全事件类型节点进行序列化操作,以生成安全事件序列。
6.根据权利要求1所述的基于人工智能算法的安全事件根因分析方法,其特征在于,步骤S5包括以下步骤:
步骤S51:对安全事件序列进行异常数据采集,得到安全事件待检测序列;
步骤S52:构建基于递归神经网络的异常检测算法模型,将安全事件待检测序列输入至异常检测算法模型中进行模型训练,并通过交叉验证方法进行验证和优化模型,以得到优化的异常检测算法模型;
步骤S53:将安全事件待检测序列重新输入至优化的异常检测算法模型中进行异常分析,得到异常事件序列;
步骤S54:根据根因诊断算法对异常事件序列进行根因诊断分析,并引入注意力机制对异常事件序列添加关注权重,得到异常根因度;
其中,根因诊断算法函数如下所示:
;
式中,为根因诊断算法函数,/>为异常根因度,/>为根因诊断持续时间间隔,/>为根因诊断持续时间,/>为残差函数,/>为Laplace反变换函数,/>为根因诊断传递函数,为根因诊断关注因子,/>为Laplace反变换持续时间间隔,/>为Laplace反变换持续时间,/>为根因诊断算法的修正值;
步骤S55:按照从大到小的顺序将异常根因度进行排序,选取排序靠前的异常根因度对应的异常事件序列作为异常事件根因序列,并对异常事件根因序列进行根因数据采集,得到异常事件根因数据。
7.一种基于人工智能算法的安全事件根因分析系统,其特征在于,包括:
至少一个处理器;
与至少一个处理器通信连接的存储器;
存储器存储有可被至少一个处理器执行的计算机程序,计算机程序被至少一个处理器执行,以使至少一个处理器能够执行如权利要求1至6中任一项所述的基于人工智能算法的安全事件根因分析方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311361481.4A CN117094006B (zh) | 2023-10-20 | 2023-10-20 | 一种基于人工智能算法的安全事件根因分析方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311361481.4A CN117094006B (zh) | 2023-10-20 | 2023-10-20 | 一种基于人工智能算法的安全事件根因分析方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117094006A CN117094006A (zh) | 2023-11-21 |
CN117094006B true CN117094006B (zh) | 2024-02-23 |
Family
ID=88773914
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311361481.4A Active CN117094006B (zh) | 2023-10-20 | 2023-10-20 | 一种基于人工智能算法的安全事件根因分析方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117094006B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016029570A1 (zh) * | 2014-08-28 | 2016-03-03 | 北京科东电力控制系统有限责任公司 | 一种面向电网调度的智能告警分析方法 |
CN109861995A (zh) * | 2019-01-17 | 2019-06-07 | 安徽谛听信息科技有限公司 | 一种网络空间安全大数据智能分析方法、计算机可读介质 |
CN109885562A (zh) * | 2019-01-17 | 2019-06-14 | 安徽谛听信息科技有限公司 | 一种基于网络空间安全的大数据智能分析系统 |
KR102055843B1 (ko) * | 2018-11-28 | 2020-01-22 | 주식회사 이글루시큐리티 | 이벤트 기반 보안정책 실시간 최적화 시스템 및 그 방법 |
CN111245793A (zh) * | 2019-12-31 | 2020-06-05 | 西安交大捷普网络科技有限公司 | 网络数据的异常分析方法及装置 |
CN112738016A (zh) * | 2020-11-16 | 2021-04-30 | 中国南方电网有限责任公司 | 一种面向威胁场景的智能化安全事件关联分析系统 |
CN115858226A (zh) * | 2022-12-27 | 2023-03-28 | 网思科技股份有限公司 | 基于人工智能的智能运维系统 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8988237B2 (en) * | 2010-05-27 | 2015-03-24 | University Of Southern California | System and method for failure prediction for artificial lift systems |
US20200225655A1 (en) * | 2016-05-09 | 2020-07-16 | Strong Force Iot Portfolio 2016, Llc | Methods, systems, kits and apparatuses for monitoring and managing industrial settings in an industrial internet of things data collection environment |
-
2023
- 2023-10-20 CN CN202311361481.4A patent/CN117094006B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016029570A1 (zh) * | 2014-08-28 | 2016-03-03 | 北京科东电力控制系统有限责任公司 | 一种面向电网调度的智能告警分析方法 |
KR102055843B1 (ko) * | 2018-11-28 | 2020-01-22 | 주식회사 이글루시큐리티 | 이벤트 기반 보안정책 실시간 최적화 시스템 및 그 방법 |
CN109861995A (zh) * | 2019-01-17 | 2019-06-07 | 安徽谛听信息科技有限公司 | 一种网络空间安全大数据智能分析方法、计算机可读介质 |
CN109885562A (zh) * | 2019-01-17 | 2019-06-14 | 安徽谛听信息科技有限公司 | 一种基于网络空间安全的大数据智能分析系统 |
CN111245793A (zh) * | 2019-12-31 | 2020-06-05 | 西安交大捷普网络科技有限公司 | 网络数据的异常分析方法及装置 |
CN112738016A (zh) * | 2020-11-16 | 2021-04-30 | 中国南方电网有限责任公司 | 一种面向威胁场景的智能化安全事件关联分析系统 |
CN115858226A (zh) * | 2022-12-27 | 2023-03-28 | 网思科技股份有限公司 | 基于人工智能的智能运维系统 |
Non-Patent Citations (6)
Title |
---|
基于上下文特征的IDS告警日志攻击场景重建方法;姜楠;崔耀辉;王健;吴晋超;;信息网络安全(第07期);全文 * |
基于搜索树的告警高效聚类算法和Bayes分类器的设计和研究;肖政;王建新;侯紫峰;韦卫;;计算机科学(第08期);全文 * |
基于模式挖掘和聚类分析的自适应告警关联;田志宏;张永铮;张伟哲;李洋;叶建伟;;计算机研究与发展(第08期);全文 * |
基于模糊场景关联分析的技术研究与实践;曲光学;;无线互联科技(第14期);全文 * |
基于深度学习的安全缺陷报告预测方法实证研究;郑炜;陈军正;吴潇雪;陈翔;夏鑫;;软件学报(第05期);全文 * |
安全事件综合分析系统框架及关键技术;李洪江;周保群;赵彬;;计算机工程(第17期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN117094006A (zh) | 2023-11-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Ravipati et al. | Intrusion detection system classification using different machine learning algorithms on KDD-99 and NSL-KDD datasets-a review paper | |
Ikram et al. | Improving accuracy of intrusion detection model using PCA and optimized SVM | |
Saxena et al. | Intrusion detection in KDD99 dataset using SVM-PSO and feature reduction with information gain | |
Leung et al. | Unsupervised anomaly detection in network intrusion detection using clusters | |
Salo et al. | Clustering enabled classification using ensemble feature selection for intrusion detection | |
Keyan et al. | An improved support-vector network model for anti-money laundering | |
Labanca et al. | Amaretto: An active learning framework for money laundering detection | |
Tianfield | Data mining based cyber-attack detection | |
Nakashima et al. | Automated feature selection for anomaly detection in network traffic data | |
CN117094006B (zh) | 一种基于人工智能算法的安全事件根因分析方法及系统 | |
Saheed et al. | Autoencoder via DCNN and LSTM models for intrusion detection in industrial control systems of critical infrastructures | |
Sangve et al. | ANOMALY BASED IMPROVED NETWORK INTRUSION DETECTION SYSTEM USING CLUSTERING TECHNIQUES. | |
Ankit et al. | A survey on intrusion detection system: feature selection, model, performance measures, application perspective, challenges, and future research directions | |
Rahman | Supervised machine learning algorithms for credit card fraudulent transaction detection: A comparative survey | |
Cascavilla et al. | " When the Code becomes a Crime Scene" Towards Dark Web Threat Intelligence with Software Quality Metrics | |
Kumar | A Big Data Analytical Framework for Intrusion Detection Based On Novel Elephant Herding Optimized Finite Dirichlet Mixture Models | |
Jie | IoT-Network Attack Detection with Optimized Recurrent Neural Network and Optimal Feature Selection | |
Chimphlee et al. | Network Intrusion Detector using Multilayer Perceptron (MLP) Approach | |
Mokhtar et al. | A review of evidence extraction techniques in big data environment | |
Yue et al. | An Unsupervised-Learning Based Method for Detecting Groups of Malicious Web Crawlers in Internet | |
Hamza et al. | Semi-supervised Method to Detect Fraudulent Transactions and Identify Fraud Types while Minimizing Mounting Costs | |
Deeptha et al. | An Estimation of the Performance of Deep Learning Based Hard Link Boot Caffe Neural Network for Network Anomaly Detection | |
Varatharaj et al. | Development of cyber threat intelligence system in a soc environment for real time environment | |
Al-tekreeti et al. | Machine Learning Based Malware Detection in Wireless Devices Using Power Footprints | |
Al-Milli | Boosting Intrusion Detection with Brainstorm Optimization as Feature Selection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |