申请/专利权人：福建极数网络科技有限公司

申请日：2023-12-21

公开（公告）日：2024-04-16

公开（公告）号：CN117436073B

主分类号：G06F21/55

分类号：G06F21/55;G06F18/23;G06F18/241;G06F18/10;G06N20/00;G06N3/045;G06N3/08

优先权：

专利状态码：有效-授权

法律状态：2024.04.16#授权;2024.02.09#实质审查的生效;2024.01.23#公开

摘要：本发明公开了一种基于智能标签的安全日志告警方法、介质和设备，所述方法先根据安全日志数据的关键特征信息生成对应的智能标签，而后基于所述智能标签对安全日志数据进一步分类，每一类别中都包含多个安全日志数据对应的智能标签，再按时间戳信息对同类别内的智能标签进行排列，并将排列后的智能标签按时间戳顺序划分为多个组，而后再基于组别来计算该组内安全日志数据的智能标签对于预警事件权重的影响，只有在组得分高于第二预设阈值时才会保留该组内的智能标签参与算得分阈值的计算，进而基于该得分阈值输出需不需要针对当下的攻击类别输出告警信息。上述方案可以剔除掉安全事件预警时引入正常日志噪声的影响，使得告警信息的提示更加准确。

主权项：1.一种基于智能标签的安全日志告警方法，其特征在于，所述方法包括：采集安全日志数据，并对所述安全日志数据进行预处理，提取所述安全日志数据中的关键特征信息，所述关键特征信息包括时间戳信息；利用训练完成的神经网络模型对所述关键特征信息进行分析，生成智能标签，所述智能标签用于表征安全事件类型或攻击类型；将安全日志数据根据智能标签进行聚类分析，根据聚类分析结果将相似的安全事件类型或攻击类型归为一类，得到多个类别的智能标签；根据智能标签的类别为每一类智能标签计算一得分阈值，当计算得分阈值大于对应的第一预设阈值时，发出告警提示；所述得分阈值根据以下方式进行计算：按照智能标签中的时间戳顺序对同一类别的多个智能标签进行排列，并以同一类别的若干智能标签为一组依次计算各智能标签组对应的组得分，剔除掉组得分低于第二预设阈值的智能标签组，根据剩下的智能标签组的组得分和相应的组权重值计算当前类别的智能标签对应的得分阈值，所述组权重值根据该组内智能标签对应的时间戳信息进行确定，所述智能标签对应的得分阈值用于表征该智能标签对应的安全日志数据能够被列为某一安全事件类型或攻击类型的概率程度；所述安全日志数据包括文本数据，所述对所述安全日志数据进行预处理，提取所述安全日志数据中的关键特征信息包括：将所述文本数据转换为神经网络模型能够处理的数值格式，并对所述文本数据进行词汇划分后转换为词嵌入向量；根据所述词嵌入向量生成输入序列，并对所述输入序列进行位置编码；采用注意力机制对所述输入序列的不同位置编码部分独立计算注意力分数，并对计算得到的注意力分数进行加权平均，得到所述注意力机制的最终输出结果；将所述注意力机制的输出结果、前馈神经网络的输出结果与原始的输入数据相加，并进行层归一化处理，得到所述安全日志数据中的关键特征信息；所述按照智能标签中的时间戳顺序对同一类别的多个智能标签进行排列包括：选取所述时间戳信息距离当前时刻的时间戳最近的若干个同一类别的智能标签按照距离当前时间戳的远近进行排列。

全文数据：

权利要求：

百度查询： 福建极数网络科技有限公司 一种基于智能标签的安全日志告警方法、介质和设备

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD