[发明专利]一种告警信息标记方法、装置、介质和设备

说明书

本发明涉及一种告警信息标记方法、装置、介质和设备。可以利用预先训练出的LDA模型，确定当前接收到的告警信息的类型对应的主题分布向量，并可以确定该告警信息对应的每个上下文文本(根据该告警信息以及其关联告警信息的类型形成的告警语句形成)对应的主题分布向量，进而可以通过主题分布向量之间的欧式距离值来度量当前接收到的告警信息的类型与其对应的每个上下文文本之间的语义偏离值。从而可以在某个欧式距离值较大时，认为当前接收到的告警信息的类型与该欧式距离值对应的上下文文本之间的语义偏离值较大，为当前接收到的告警信息生成对应的上下文异常标签，提示该告警信息针对某个上下文文本可能是高风险告警信息。

技术领域

本发明涉及网络安全技术领域，特别涉及一种告警信息标记方法、装置、介质和设备。

背景技术

本部分旨在为权利要求书中陈述的本发明的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。

安全运营中心如今面临的一大挑战，是在有限的人力及成本资源限制下，实现网络安全管理。而针对大量的告警信息进行处理，远远超过安全运营人员的人工处理能力，会造成严重的“告警疲劳”现象，不仅不能有效地维护网络安全，反而会导致安全运营人员对告警信息的不信任的产生，进而导致网络安全性的降低。

为了减少“告警疲劳”现象的产生，现有方案往往通过规则驱动的静态分级、经验驱动的黑白名单或者初级的数据频率统计方案等，对告警信息进行分类分级，以区分大量告警信息中的高风险告警信息(可以理解为高风险告警信息对应的攻击对系统安全性的影响较高的告警信息)和低风险告警信息(可以理解为对应的攻击对系统安全性的影响较低的告警信息)，实现高风险告警信息的发现，使得安全运营人员可以针对性地对高风险告警信息进行有效处理。

但是目前从告警信息中发现高风险告警信息的方案，往往无法及时并准确地识别出高风险告警信息，进而导致错失最佳的威胁捕获时机，为企业、组织的数据资产、IT系统的稳定运行埋下巨大隐患。

发明内容

本发明实施例提供一种告警信息标记方法、装置、介质和设备，用于解决从告警信息中发现高风险告警信息的及时性和准确性较差的问题。

第一方面，本发明提供了一种告警信息标记方法，所述方法包括：

若确定当前接收到的第一告警信息的类型，属于预先训练出的潜在狄利克雷分布LDA模型训练用的告警信息的类型中的一个，确定接收到所述第一告警信息之前的设定时长内接收到的第二告警信息；

根据所述第一告警信息以及所述第二告警信息，确定所述第一告警信息所对应的至少一个上下文文本，利用所述LDA模型确定每个上下文文本作为文档所对应的主题分布向量；

确定所述第一告警信息的类型作为单词针对所述LDA模型所对应的主题分布向量，并分别确定该主题分布向量与每个上下文文本作为文档所对应的主题分布向量之间的欧式距离值；

若至少一个欧式距离值大于设定值，为所述第一告警信息生成每个大于设定值的欧式距离值对应的上下文异常标签。

可选的，所述方法还包括：针对每个大于设定值的欧式距离值，根据所述LDA模型的预先人工标注结果，获取指定主题所对应的语义描述，该指定主题为该欧式距离值对应的上下文文本对应的主题；并，输出该欧式距离值，该欧式距离值对应的上下文异常标签以及该欧式距离值对应的指定主题对应的语义描述；

其中，一个上下文文本对应的主题根据该上下文文本作为文档所对应的主题分布向量确定。

可选的，所述至少一个上下文文本包括源上下文文本，目的上下文文本以及源-目的上下文文本；

所述源上下文文本根据源互联网协议地址与所述第一告警信息相同的告警语句形成；

所述目的上下文文本根据目的互联网协议地址与所述第一告警信息相同的告警语句形成；