2. 专利查询
  3. 一种误告警的识别方法、装置、计算机设备及存储介质与流程

一种误告警的识别方法、装置、计算机设备及存储介质与流程

专利查询5天前  3

本发明涉及网络安全,具体涉及一种误告警的识别方法、装置、计算机设备及存储介质。


背景技术:

1、随着云计算、大数据等通信技术的快速发展,多种网络业务的涌现,各种网络平台、网络软件中的数据呈海量增长。为了保证数据安全,通常会对网络平台、网络系统、机房、服务器等相关的用户行为进行实时监控,并在用户行为异常时进行预警,以使得维护人员及时发现异常原因,并解决问题。

2、通常情况下,对异常用户行为的判断依赖于预设阈值机制(例如,流量阈值、上限、特定操作计数基准等)。这种方式虽然可以即时响应异常用户行为,触发预警,但易因人员偶然的操作失误会引起误报。且现在很多攻击威胁往往通过伪装成正常用户行为来规避传统安全防护措施,使得对异常用户行为的检测不准确且效率低,使得预警误报率高。


技术实现思路

1、有鉴于此,本发明提供了一种误告警的识别方法、装置、计算机设备及存储介质,以解决对异常用户行为的检测不准确且效率低,使得预警误报率高的问题。

2、第一方面,本发明提供了一种误告警的识别方法,方法包括:当接收到告警信号时,获取一系列行为的行为数据,行为数据包括一系列行为中每个行为对应的行为标识,告警信号由监控系统对用户的一系列行为整体判定为异常时触发;在行为映射表中查找每个行为标识对应的特征值,生成一系列行为的特征值数组,行为映射表包括至少一个对应关系,每个对应关系为一个行为标识与一个特征值之间的对应关系。

3、基于特征值数组,在用户行为库中确定与一系列行为最相关的目标预设一系列行为,目标预设一系列行为与目标预设特征值数组具有对应关系,用户行为库包括至少一个预设特征值数组,每个预设特征值数组对应一个预设一系列行为,预设一系列行为均为正常行为;确定特征值数组与目标预设特征值数组之间的目标相关系数,目标相关系数用于指示一系列行为与目标预设一系列行为的相关程度;若目标相关系数大于等于第一阈值且小于等于第二阈值,则确定系统触发的告警信号为误告警,且一系列行为均为正常行为。

4、基于上述第一方面的方法,可以当接收到告警信号时,获取一系列行为的行为数据,并在行为映射表中查找每个行为标识对应的特征值,生成一系列行为的特征值数组,基于特征值数组,在用户行为库中确定与一系列行为最相关的目标预设一系列行为,确定特征值数组与目标预设特征值数组之间的目标相关系数,若目标相关系数大于等于第一阈值且小于等于第二阈值,则确定系统触发的告警信号为误告警,且一系列行为均为正常行为。

5、本方面提供的方法,在接收到告警信号时,将触发告警的用户的一系列行为与用户行为库中的预设一系列行为进行比较,确定与一系列行为最相关的目标预设一系列行为,并进一步基于目标预设一系列行为的目标预设特征值数组,与一系列行为的特征值数组,确定目标预设特征值数组与特征值数组之间的目标相关系数,且在目标相关系数大于等于第一阈值且小于等于第二阈值的情况下,即在目标预设一系列行为与一系列行为的相同或相似的情况下,由于目标预设一系列行为均是正常行为,可以确定与目标预设一系列行为相同或相似的一系列行为也均是正常行为,进而可以准确确定系统触发的告警信号为误告警,提升对用户异常行为的检测准确率和效率,降低预警误报率。

6、在一种可选的实施方式中,基于特征值数组,在用户行为库中确定与一系列行为最相关的目标预设一系列行为,包括:基于特征值数组,利用相关系数函数表达式,计算用户行为库中每个预设特征值数组和特征值数组之间的相关系数,得到至少一个相关系数,相关系数用于指示每个预设特征值数组和特征值数组之间的差异程度,相关系数函数表达式是基于预设特征值数组中的预设特征值、预设特征值数组中的预设特征值的平均值、特征值数组中的特征值、特征值数组中的特征值的平均值确定的。

7、在至少一个相关系数中确定最大相关系数,并根据最大相关系数和第一对应关系,确定最大相关系数对应的预设特征值数组为目标预设特征值数组,第一对应关系为每个相关系数与每个预设特征值数组之间的对应关系;

8、根据目标预设特征值数组和第二对应关系,将目标预设特征值数组对应的预设一系列行为确定为目标预设一系列行为,第二对应关系为每个预设特征值数组与每个预设一系列行为的对应关系。

9、基于上述方法,可以通过计算用户行为库中每个预设特征值数组和特征值数组之间的相关系数,确定出与一系列行为最相关的目标预设一系列行为。

10、在一种可选的实施方式中,相关系数函数表达式通过如下公式表达:

11、

12、r表示每个预设特征值数组和特征值数组之间的相关系数;xi表示预设特征值数组中的第i个特征值;yi表示特征值数组中的第i个预设特征值;表示预设特征值数组中的预设特征值的平均值,表示特征值数组中的特征值的平均值。

13、基于上述方法,可以通过相关系数函数表达式计算出每个预设特征值数组和特征值数组之间的相关系数。

14、在一种可选的实施方式中,确定特征值数组与目标预设特征值数组之间的目标相关系数,包括:将最大相关系数确定为特征值数组与目标预设特征值数组之间的目标相关系数。

15、基于上述方法,可以确定目标相关系数,便于后续基于目标相关系数,确定告警信号是否为误告警。

16、在一种可选的实施方式中,该方法还包括:获取至少一个预设一系列行为的预设行为数据,预设行为数据包括每个预设一系列行为中每个预设行为对应的预设行为标识;在行为映射表中查找每个预设行为标识对应的预设特征值,生成每个预设一系列行为的预设特征值数组;基于至少一个预设特征值数组,生成用户行为库。

17、基于上述方法,可以生成包括至少一个预设一系列行为的预设特征值数组的用户行为库,便于后续确定与一系列行为中最相关的预设一系列行为。

18、在一种可选的实施方式中,若目标相关系数小于第一阈值且大于等于第三阈值,则标记系统触发的告警信号为疑似误告警,并发送预警信息,预警信息用于指示管理人员对一系列行为进行人工分析。

19、基于上述方法,若目标相关系数小于第一阈值且大于等于第三阈值,即目标预设一系列行为与一系列行为的相关性一般的情况下,无法确定一系列行为是否与目标预设一系列行为相似均是正常行为,因此,需要标记系统触发的告警信号为疑似误告警,并进一步通知管理人员对一系列行为进行人工分析。

20、在一种可选的实施方式中,该方法还包括:若目标相关系数大于等于第四阈值且小于第三阈值,则确定系统触发的告警信号为正常告警,且一系列行为存在异常行为。

21、基于上述方法,若目标相关系数大于等于第四阈值且小于第三阈值,即目标预设一系列行为与一系列行为的相关性较差的情况下,确定一系列行为与目标预设一系列行为差异较大,因此,确定一系列行为存在异常行为,系统触发的告警信号为正常告警。

22、第二方面,本发明提供了一种误告警的识别装置,该装置包括:获取模块,用于当接收到告警信号时,获取一系列行为的行为数据,行为数据包括一系列行为中每个行为对应的行为标识,告警信号由监控系统对用户的一系列行为整体判定为异常时触发;处理模块,用于在行为映射表中查找每个行为标识对应的特征值,生成一系列行为的特征值数组,行为映射表包括至少一个对应关系,每个对应关系为一个行为标识与一个特征值之间的对应关系。

23、处理模块,还用于基于特征值数组,在用户行为库中确定与一系列行为最相关的目标预设一系列行为,目标预设一系列行为与目标预设特征值数组具有对应关系,用户行为库包括至少一个预设特征值数组,每个预设特征值数组对应一个预设一系列行为,预设一系列行为均为正常行为;处理模块,还用于确定特征值数组与目标预设特征值数组之间的目标相关系数,目标相关系数用于指示一系列行为与目标预设一系列行为的相关程度;处理模块,还用于若目标相关系数大于等于第一阈值且小于等于第二阈值,则确定系统触发的告警信号为误告警,且一系列行为均为正常行为。

24、第三方面,本发明提供了一种计算机设备,包括:存储器和处理器,存储器和处理器之间互相通信连接,存储器中存储有计算机指令,处理器通过执行计算机指令,从而执行上述第一方面或其对应的任一实施方式的误告警的识别方法。

25、第四方面,本发明提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机指令,计算机指令用于使计算机执行上述第一方面或其对应的任一实施方式的误告警的识别方法。

26、第五方面,本发明提供了一种计算机程序产品,包括计算机指令,计算机指令用于使计算机执行上述第一方面或其对应的任一实施方式的误告警的识别方法。


技术特征:

1.一种误告警的识别方法,其特征在于,所述方法包括:

2.根据权利要求1所述的方法,其特征在于,所述基于所述特征值数组,在用户行为库中确定与所述一系列行为最相关的目标预设一系列行为,包括:

3.根据权利要求2所述的方法,其特征在于,所述相关系数函数表达式通过如下公式表达:

4.根据权利要求3所述的方法,其特征在于,所述确定所述特征值数组与所述目标预设特征值数组之间的目标相关系数,包括:

5.根据权利要求1所述方法,其特征在于,所述方法还包括:

6.根据权利要求1所述的方法,其特征在于,所述方法还包括:

7.根据权利要求6所述的方法,其特征在于,所述方法还包括:

8.一种误告警的识别装置,其特征在于,所述装置包括:

9.一种计算机设备,其特征在于,包括:

10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机指令,所述计算机指令用于使计算机执行权利要求1至7中任一项所述的误告警的识别方法。


技术总结
本发明涉及网络安全技术领域,公开了一种误告警的识别方法、装置、计算机设备及存储介质,该方法包括:当接收到告警信号时,获取一系列行为的行为数据;在行为映射表中查找每个行为标识对应的特征值,生成一系列行为的特征值数组;基于特征值数组,在用户行为库中确定与一系列行为最相关的目标预设一系列行为;确定特征值数组与目标预设特征值数组之间的目标相关系数,目标相关系数用于指示一系列行为与目标预设一系列行为的相关程度;若目标相关系数大于等于第一阈值且小于等于第二阈值,则确定系统触发的告警信号为误告警,且一系列行为均为正常行为。本发明可以解决对异常用户行为的检测不准确且效率低,使得预警误报率高的问题。

技术研发人员:王坤
受保护的技术使用者:苏州元脑智能科技有限公司
技术研发日:
技术公布日:2024/12/5

专利

最新回复(0)