2. 技术
  3. 自动化告警分诊方法、装置、设备及存储介质与流程

自动化告警分诊方法、装置、设备及存储介质与流程

xiaoxiao21天前  18

本技术涉及网络安全,尤其涉及自动化告警分诊方法、装置、设备及存储介质。


背景技术:

1、自动化告警分诊主要应用于安全运营中心的场景,其中需要处理大量来自不同安全设备的告警信息时,自动化快速筛选重要告警,为后期的进一步分析奠定基础。示例性地,在安全事件响应中,需要利用自动化告警分诊快速识别和响应真正的安全威胁,同时过滤误报和噪声告警。

2、传统地,在进行自动化告警分诊时,通常会采用基于规则的技术、基于机器学习的技术、关联分析的技术等实现。例如,对于基于规则的技术,通常是将告警数据与特定的规则集进行匹配,根据匹配结果判断是否为告警。

3、然而,上述方式在进行自动化告警分诊时,存在准确性较低的问题。


技术实现思路

1、本技术旨在至少解决现有技术中存在的技术问题,为此,本技术第一方面提出一种自动化告警分诊方法,该方法包括:

2、获取多个当前告警信息;

3、将当前告警信息输入至预设告警分诊模型中进行计算,生成与当前告警信息对应的告警分诊结果;其中,预设告警分诊模型是基于预设关联规则挖掘子模型及预设安全知识图谱生成的,预设关联规则挖掘子模型用于生成与当前告警信息对应的上下文信息,预设安全知识图谱用于生成与当前告警信息对应的额外语义化信息;

4、基于告警分诊结果确定当前告警信息对应的目标响应策略,以基于目标响应策略对当前告警信息进行应对处理。

5、在一种可能的实施方式中,预设关联规则挖掘子模型的构建过程,包括:

6、获取多种网络数据集;其中,网络数据集至少包括网络流量日志、用户行为数据、系统日志及威胁情报;

7、将网络数据集转换为事务数据库,并从事务数据库中确定目标频繁项集;其中,目标频繁项集包括在事务数据库中出现预设次数的多个事件;

8、基于目标频繁项集及预设置信度阈值,生成目标关联规则;

9、基于目标关联规则,得到预设关联规则挖掘子模型。

10、在一种可能的实施方式中,基于目标频繁项集及预设置信度阈值,生成目标关联规则,包括:

11、针对目标频繁项集中任两个事件,计算事件之间的当前置信度;

12、筛选出各当前置信度中满足预设置信度阈值的目标置信度;

13、基于目标置信度,生成目标关联规则。

14、在一种可能的实施方式中,预设安全知识图谱的构建过程,包括:

15、获取多个实体及各实体之间的关系信息;

16、获取多种历史安全数据;其中,历史安全数据至少包括威胁情报、漏洞信息及历史安全事件;

17、基于实体、各实体之间的关系信息及多种历史安全数据,生成预设安全知识图谱。

18、在一种可能的实施方式中,将当前告警信息输入至预设告警分诊模型中进行计算,生成与当前告警信息对应的告警分诊结果,包括:

19、将当前告警信息输入至预设告警分诊模型中,通过预设关联规则挖掘子模型生成与当前告警信息对应的上下文信息;

20、通过预设安全知识图谱生成与当前告警信息对应的额外语义化信息;

21、将上下文信息及额外语义化信息进行融合处理,生成融合数据;

22、基于融合数据对当前告警信息进行处理,生成告警分诊结果。

23、在一种可能的实施方式中,基于融合数据对当前告警信息进行处理,生成告警分诊结果,包括:

24、基于融合数据对当前告警信息进行异常检测和关联分析,生成处理结果;其中,处理结果包括威胁检测结果及攻击链路信息;

25、基于当前告警信息对应的特征数据集及攻击链路信息,对威胁检测结果中的各威胁进行排序处理,生成告警分诊结果。

26、在一种可能的实施方式中,基于告警分诊结果确定当前告警信息对应的目标响应策略,包括:

27、计算告警分诊结果中各威胁的综合危害值;

28、基于综合危害值及预设危害阈值,确定当前告警信息对应的目标响应策略。

29、本技术第二方面提出一种自动化告警分诊装置,该装置包括:

30、获取模块,用于获取多个当前告警信息;

31、计算模块,用于将当前告警信息输入至预设告警分诊模型中进行计算,生成与当前告警信息对应的告警分诊结果;其中,预设告警分诊模型是基于预设关联规则挖掘子模型及预设安全知识图谱生成的,预设关联规则挖掘子模型用于生成与当前告警信息对应的上下文信息,预设安全知识图谱用于生成与当前告警信息对应的额外语义化信息;

32、确定模块,用于基于告警分诊结果确定当前告警信息对应的目标响应策略,以基于目标响应策略对当前告警信息进行应对处理。

33、在一种可能的实施方式中,上述自动化告警分诊装置还用于:

34、获取多种网络数据集;其中,网络数据集至少包括网络流量日志、用户行为数据、系统日志及威胁情报;

35、将网络数据集转换为事务数据库,并从事务数据库中确定目标频繁项集;其中,目标频繁项集包括在事务数据库中出现预设次数的多个事件;

36、基于目标频繁项集及预设置信度阈值,生成目标关联规则;

37、基于目标关联规则,得到预设关联规则挖掘子模型。

38、在一种可能的实施方式中,上述自动化告警分诊装置还用于:

39、针对目标频繁项集中任两个事件,计算事件之间的当前置信度;

40、筛选出各当前置信度中满足预设置信度阈值的目标置信度;

41、基于目标置信度,生成目标关联规则。

42、在一种可能的实施方式中,上述自动化告警分诊装置还用于:

43、获取多个实体及各实体之间的关系信息;

44、获取多种历史安全数据;其中,历史安全数据至少包括威胁情报、漏洞信息及历史安全事件;

45、基于实体、各实体之间的关系信息及多种历史安全数据,生成预设安全知识图谱。

46、在一种可能的实施方式中,上述计算模块具体用于:

47、将当前告警信息输入至预设告警分诊模型中,通过预设关联规则挖掘子模型生成与当前告警信息对应的上下文信息;

48、通过预设安全知识图谱生成与当前告警信息对应的额外语义化信息;

49、将上下文信息及额外语义化信息进行融合处理,生成融合数据;

50、基于融合数据对当前告警信息进行处理,生成告警分诊结果。

51、在一种可能的实施方式中,上述计算模块还用于:

52、基于融合数据对当前告警信息进行异常检测和关联分析,生成处理结果;其中,处理结果包括威胁检测结果及攻击链路信息;

53、基于当前告警信息对应的特征数据集及攻击链路信息,对威胁检测结果中的各威胁进行排序处理,生成告警分诊结果。

54、在一种可能的实施方式中,上述确定模块具体用于:

55、计算告警分诊结果中各威胁的综合危害值;

56、基于综合危害值及预设危害阈值,确定当前告警信息对应的目标响应策略。

57、本技术第三方面提出一种电子设备,所述电子设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如第一方面所述的自动化告警分诊方法。

58、本技术第四方面提出一种计算机可读存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如第一方面所述的自动化告警分诊方法。

59、本技术实施例具有以下有益效果:

60、本技术实施例提供的自动化告警分诊方法,该方法包括:获取多个当前告警信息,将当前告警信息输入至预设告警分诊模型中进行计算,生成与当前告警信息对应的告警分诊结果,其中,预设告警分诊模型是基于预设关联规则挖掘子模型及预设安全知识图谱生成的,预设关联规则挖掘子模型用于生成与当前告警信息对应的上下文信息,预设安全知识图谱用于生成与当前告警信息对应的额外语义化信息,基于告警分诊结果确定当前告警信息对应的目标响应策略,以基于目标响应策略对当前告警信息进行应对处理。本方案通过预先训练好的预设告警分诊模型直接对当前告警信息进行计算,就能够得到相应的告警分诊结果,提高了进行自动化告警分诊的准确性;另外,通过自动化处理大量当前告警信息,减少了安全分析师的重复性工作,提高了进行自动化告警分诊的效率;并且,利用先进的机器学习和人工智能技术,预设告警分诊模型可以更准确地识别真正的威胁,同时减少误报和漏报。


技术特征:

1.一种自动化告警分诊方法,其特征在于,所述方法包括:

2.根据权利要求1所述的方法,其特征在于,所述预设关联规则挖掘子模型的构建过程,包括:

3.根据权利要求2所述的方法,其特征在于,所述基于所述目标频繁项集及预设置信度阈值,生成目标关联规则,包括:

4.根据权利要求3所述的方法,其特征在于,所述预设安全知识图谱的构建过程,包括:

5.根据权利要求1-4任一项所述的方法,其特征在于,所述将所述当前告警信息输入至预设告警分诊模型中进行计算,生成与所述当前告警信息对应的告警分诊结果,包括:

6.根据权利要求5所述的方法,其特征在于,所述基于所述融合数据对所述当前告警信息进行处理,生成所述告警分诊结果,包括:

7.根据权利要求1-4任一项所述的方法,其特征在于,所述基于所述告警分诊结果确定所述当前告警信息对应的目标响应策略,包括:

8.一种自动化告警分诊装置,其特征在于,所述装置包括:

9.一种电子设备,其特征在于,所述电子设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如权利要求1-7任一项所述的自动化告警分诊方法。

10.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如权利要求1-7任一项所述的自动化告警分诊方法。


技术总结
本申请公开了一种自动化告警分诊方法、装置、设备及存储介质,通过预先训练好的预设告警分诊模型直接对当前告警信息进行计算,就能够得到相应的告警分诊结果,提高了进行自动化告警分诊的准确性;另外,通过自动化处理大量当前告警信息,减少了安全分析师的重复性工作,提高了进行自动化告警分诊的效率;并且,利用先进的机器学习和人工智能技术,预设告警分诊模型可以更准确地识别真正的威胁,同时减少误报和漏报。

技术研发人员:雷小辉,张渤琦,黄亚亚,童小敏,苏嘉鹏
受保护的技术使用者:西安四叶草信息技术有限公司
技术研发日:
技术公布日:2024/9/23

专利

最新回复(0)