[发明专利]一种安全告警分析优化方法在审
申请号: | 202210792394.3 | 申请日: | 2022-07-06 |
公开(公告)号: | CN115134159A | 公开(公告)日: | 2022-09-30 |
发明(设计)人: | 龙岩 | 申请(专利权)人: | 辽宁振兴银行股份有限公司 |
主分类号: | H04L9/40 | 分类号: | H04L9/40;G06F16/35;G06F16/951;G06N20/00 |
代理公司: | 郑州欧凯专利代理事务所(普通合伙) 41166 | 代理人: | 陈凌 |
地址: | 110000 辽*** | 国省代码: | 辽宁;21 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 安全 告警 分析 优化 方法 | ||
本发明涉及网络安全技术领域,具体涉及一种安全告警分析优化方法,主要体现为利用爬虫技术聚合多种安全设备的告警,优化了告警信息分散的问题;将告警类型分为正常流量、扫描类告警、渗透类告警、高风险告警,使用文本分类算法TF‑IDF进行相似度计算,从而实现对安全告警的“记忆”能力,分析过的告警的近似告警无需再次进行人工分析;使用TF‑IDF算法进行特征值提取,之后使用随机森林算法建立告警分类模型,将机器学习算法应用到告警分析之中,分类结论可以有效辅助安全人员进行分析或指导无安全技能的监控人员对告警进行通报。
技术领域
本发明涉及网络安全技术领域,具体涉及一种安全告警分析优化方法。
背景技术
针对多样的网络威胁,安全研究人员研究出了多种威胁检测引擎,在业务场景多样化以及海量数据的背景下,各种威胁检测引擎会产生大量的安全告警,一方面因为威胁检测引擎存在错误告警甚至遗漏告警的可能,因此需要人工进行审核确认,另一方面因为在告警信息中可能存在信息价值低的告警,例如可疑扫描等威胁,因此在人工审核告警的过程中可能会面临大量此种类型告警。
当前主要分析手段可以通过按条件搜索等手段查看安全告警,目前安全告警分析主要依靠人工,部分安全设备有部分辅助分析的手段,基本上也是根据攻击者ip,目标ip等进行简单聚类。
同时各类安全设备可能产生大量告警,首先告警平台不同导致告警无法集中,在多个平台上查看告警费时费力;其次完全依赖人工分析,无法逐条进行分析,往往有所遗漏,或将大量的时间精力浪费在对正常业务的误报处理及网络扫描行为的无效分析上。另外分析效果因人而异,具有专业技能的安全人员往往无法7*24小时的监控设备,而7*24小时监控设备的人员往往缺乏告警分析能力,只能单方面依赖安全设备显示的告警等级,无法聚焦于真正高威胁的告警,反而疲于应付无谓的高危告警,基于此,研究一种安全告警分析优化方法是必要的。
发明内容
鉴于此,本发明的目的在于提供一种安全告警分析优化方法,有效的解决了现有的告警分类多样,各平台独立显示告警,无法集中显示,造成告警查看费时费力的问题。
为实现上述目的,本发明所采用的技术方案是:一种安全告警分析优化方法,其特征在于,包括如下步骤:
步骤一,多平台告警信息收集;
爬取各类安全设备、平台的告警信息,爬取内容包括攻击类型、攻击源地址、目的地址、攻击源端口号、目的端口号、风险等级、安全设备动作、流量方向、请求URL和原始报文,将爬取的告警数据存入爬取数据库中;
步骤二,告警数据处理;
对告警数据进行预处理,统一数据格式,并进行过滤,过滤掉非重要告警得到标准告警数据,所述标准告警数据包括告警时间、告警设备类型、攻击类型、告警请求名称、告警源地址、告警源端口、告警目的地址、告警目的端口、风险等级、流量方向、是否阻断和原始告警;将标准告警数据存入标准数据库内;
步骤三,计算标准告警正文信息熵;
计算标准告警数据请求体的信息熵,当计算得到的信息熵超过设定阈值时,判定该标准告警数据请求体中为加密字符串或乱码,并过滤此类请求;
具体的信息熵计算公式为:
其中H(x)为信息熵值,P(xi)为变量取值xi时的概率,x为随机变量;
步骤四,标准告警数据相识度比较
将标准告警数据涉及请求的URL与已有资源数据库中URL对比,如不存在,认为此告警为非近似告警,进入下一步特征值提取;如存在,使用TF-IDF算法计算其与已知请求的相似度,如相似度90%,认为此告警与之前告警近似,近似告警分类自动同步为原告警分类;
步骤五,特征值提取
对请求告警中请求体进行特征值提取,为进一步建立模型判断告警分类提供基础,
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于辽宁振兴银行股份有限公司,未经辽宁振兴银行股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202210792394.3/2.html,转载请声明来源钻瓜专利网。
- 上一篇:带电动转笼的空气炸锅
- 下一篇:一种高效菌根真菌菌剂的规模化扩繁技术