申请/专利权人：辽宁振兴银行股份有限公司

申请日：2022-07-06

公开（公告）日：2024-04-12

公开（公告）号：CN115134159B

主分类号：H04L9/40

分类号：H04L9/40;G06F16/35;G06F16/951;G06N20/00

优先权：

专利状态码：有效-授权

法律状态：2024.04.12#授权;2024.02.20#著录事项变更;2022.10.25#实质审查的生效;2022.09.30#公开

摘要：本发明涉及网络安全技术领域，具体涉及一种安全告警分析优化方法，主要体现为利用爬虫技术聚合多种安全设备的告警，优化了告警信息分散的问题；将告警类型分为正常流量、扫描类告警、渗透类告警、高风险告警，使用文本分类算法TF‑IDF进行相似度计算，从而实现对安全告警的“记忆”能力，分析过的告警的近似告警无需再次进行人工分析；使用TF‑IDF算法进行特征值提取，之后使用随机森林算法建立告警分类模型，将机器学习算法应用到告警分析之中，分类结论可以有效辅助安全人员进行分析或指导无安全技能的监控人员对告警进行通报。

主权项：1.一种安全告警分析优化方法，其特征在于，包括如下步骤：步骤一，多平台告警信息收集；爬取各类安全设备、平台的告警信息，爬取内容包括攻击类型、攻击源地址、目的地址、攻击源端口号、目的端口号、风险等级、安全设备动作、流量方向、请求URL和原始报文，将爬取的告警数据存入爬取数据库中；步骤二，告警数据处理；对告警数据进行预处理，统一数据格式，并进行过滤，过滤掉非重要告警得到标准告警数据，所述标准告警数据包括告警时间、告警设备类型、攻击类型、告警请求名称、告警源地址、告警源端口、告警目的地址、告警目的端口、风险等级、流量方向、是否阻断和原始告警；将标准告警数据存入标准数据库内；步骤三，计算标准告警正文信息熵；计算标准告警数据请求体的信息熵，当计算得到的信息熵超过设定阈值时，判定该标准告警数据请求体中为加密字符串或乱码，并过滤此类请求；具体的信息熵计算公式为： 其中H（x）为信息熵值，P（xi）为变量取值xi时的概率，x为随机变量；步骤四，标准告警数据相识度比较；将标准告警数据涉及请求的URL与已有资源数据库中URL对比，如不存在，认为此告警为非近似告警，进入下一步特征值提取；如存在，使用TF-IDF算法计算其与已知请求的相似度，如相似度90%，认为此告警与之前告警近似，近似告警分类自动同步为原告警分类；步骤五，特征值提取；对请求告警中请求体进行特征值提取，为进一步建立模型判断告警分类提供基础，采用TF-IDF对非近似告警文本数据进行向量化处理，使用TF-IDF算法进行特征值提取，形成告警的特征向量，其中特征值包括攻击源ip、攻击目标ip、流量方向和请求体提取特征；步骤六，建立模型算法对非近似告警进行分类；特征提取完毕后，使用随机森林算法建立告警分类模型；对非近似告警数据进行分类，告警分类包括正常流量、扫描类告警、渗透类告警和高风险告警；其中正常流量：定义为正常业务流量；扫描类告警：定义为非误报，其为扫描器或漏洞利用工具扫描产生的告警；渗透类告警：定义为针对性渗透攻击产生的告警，这类告警可能尝试绕过安全防护类，需要进一步由人工介入，分析其攻击意图与是否攻击成功；高风险告警：定义为目标已失陷产生的告警，此类告警出现时意味着目标疑似已被攻陷正作为跳板尝试攻击其他内网目标，需要人工立即介入分析及处置；建立模型算法对非近似告警的特征向量进行分类，随机森林算法中的训练集为告警数据库中原告警，每个告警的分类标签为首次收到此告警时的人工判定，之后遇到相似告警会同步此标签；非近似告警在进行过算法判断后，视配置决定是直接入库还是进一步进行人工复核进行分类；步骤七，最终确认和数据入库；视配置决定是否对全部告警进行人工判断，在缺省情况下，只对上一步算法判断为渗透类及高风险的告警提示人工介入，人工分析后可以在告警分析工具中修改告警类型，并入库。

全文数据：

权利要求：

百度查询： 辽宁振兴银行股份有限公司 一种安全告警分析优化方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD