基于网络节点风险评估的告警过滤方法、系统及介质与流程

文档序号:35871572发布日期:2023-10-28 05:32阅读:71来源:国知局
基于网络节点风险评估的告警过滤方法、系统及介质与流程

本技术涉及告警过滤,尤其涉及一种基于网络节点风险评估的告警过滤方法、系统及介质。


背景技术:

1、告警过滤在网络安全监控系统中起着关键作用,帮助识别和过滤掉噪声和重复的告警,以减少运维人员的工作量和提高运维效率。但目前存在一个非常普遍的现象:“误告警泛滥”,而“真”告警容易被淹没。研究发现其中只有3.05%的告警是“真”告警。同时发现误告警泛滥根源在于单靠现有告警产品的能力很难配置出行之有效的告警规则。

2、目前,告警过滤可以分为以下几类:1.基于规则的过滤。2.机器学习方法,自动识别和过滤出相对较低风险的告警。3.异常检测和行为分析:通过建立基准行为模型或统计模型来检测与预期行为不一致的事件。4.自适应告警过滤:这根据当前的威胁情报、攻击趋势和网络拓扑等因素来优化告警过滤。5.自动化和智能化:利用人工智能等技术,自动识别和解释告警。

3、但是,上述告警过滤方法1.基于规则的方法:需要大量的人力物力,另外,新规则的制定存在严重的滞后性。2.机器学习方法:需要人工对历史数据进行标注,同样需要大量的人力物力。3.异常检测和行为分析:真正的异常只占很小一部分,存在很高误报率。4.自适应告警过滤:对异常趋势的变化判断存在很大的误差。5.自动化和智能化:对数据量的要求比较大,训练和更新周期长。


技术实现思路

1、针对现有技术的上述不足,本技术提供一种基于网络节点风险评估的告警过滤方法、系统及介质,以解决现有的方法需要大量的人力物力、误报率高、对数据量的要求比较大,训练和更新周期长等问题。

2、第一方面,本技术提供了一种基于网络节点风险评估的告警过滤方法,方法包括:基于网络节点ip,将预设时间间隔内的网络事件进行聚合;按照网络节点ip生成事件文档;根据事件文档、事件文档中的网络事件和idf公式,确定网络事件风险值;获取网络节点对应的有向图的基本转移矩阵、第一阻尼系数,进而获得网络节点拓扑重要度;获取预设时间间隔内网络节点对应的访问用户数、各个网络节点被访问频次、全部网络节点被访问总频次、第二阻尼系数和网络节点总数,以获得网络节点影响度;获得网络节点对应的网络事件总数、网络事件的发生频次、第三阻尼系数、网络事件风险值、网络节点拓扑重要度和网络节点影响度,确定网络节点风险值;根据网络事件的发生频次、网络事件风险值、网络节点风险值、网络事件总数、网络节点总数和网络事件种类,获得网络节点告警列表和网络事件告警列表;基于网络节点告警列表和网络事件告警列表,生成节点-事件去重集合,并以网络事件的排列顺序为第一基准,以网络节点的排列顺序为第二基准,形成最终告警排序结果。

3、进一步地,根据事件文档、事件文档中的网络事件和idf公式,确定网络事件风险值,具体包括:根据idf公式:,,计算网络事件对应的idf值;其中,为第i个网络事件对应的idf值,a为任一事件文档,a为所有事件文档集合,|a|是所有事件文档的数量,n为网络事件集合,|n|是事件文档中网络事件的数量,;根据事件扩散度公式:,,计算网络事件的扩散度;其中,为第i个网络事件的扩散度,为预设时间间隔内的平均值;根据预设风险值计算公式:,确定网络事件风险值;其中,为第i个网络事件风险值。

4、进一步地,获取网络节点对应的有向图的基本转移矩阵、第一阻尼系数,进而获得网络节点拓扑重要度,具体包括:获取网络节点和网络节点之间的连接方式,以生成网络节点对应的有向图,进而基于网络节点对应的有向图获得基本转移矩阵;通过预设参数编辑界面获取第一阻尼系数;通过预设拓扑重要度计算公式:,计算网络节点拓扑重要度;其中,d为第一阻尼系数;m为基本转移矩阵;为上一次迭代的pr值,且的初始值为1;n为网络节点总数;e为所有分量为1的n维向量。

5、进一步地,获取预设时间间隔内网络节点对应的访问用户数、各个网络节点被访问频次、全部网络节点被访问总频次、第二阻尼系数和网络节点总数,以获得网络节点影响度,具体包括:通过预设参数编辑界面,获得第二阻尼系数;通过预设统计工具获取预设时间间隔内网络节点生成的网络日志,以通过网络日志,统计预设时间间隔内网络节点对应的访问用户数、各个网络节点被访问频次、全部网络节点被访问总频次和网络节点总数;通过预设影响度公式:,获得网络节点影响度;其中,if为网络节点影响度,为第二阻尼系数,uv为预设时间间隔内网络节点对应的访问用户数,uf各个网络节点被访问频次,tf全部网络节点被访问总频次,n为网络节点总数。

6、进一步地,获得网络节点对应的网络事件总数、网络事件的发生频次、第三阻尼系数、网络事件风险值、网络节点拓扑重要度和网络节点影响度,确定网络节点风险值,具体包括:通过预设参数编辑界面,获取第三阻尼系数;通过预设统计工具获取预设时间间隔内网络节点生成的网络日志,以通过网络日志,统计预设时间间隔内各个网络事件的发生频次;通过预设风险值公式:,确定网络节点风险值;其中,nr为网络节点风险值,为第三阻尼系数,pr为网络节点拓扑重要度,if为网络节点影响度,为第i个网络事件风险值,为第i个网络事件的发生频次,n为网络事件集合。

7、进一步地,根据网络事件的发生频次、网络事件风险值、网络节点风险值、网络事件总数、网络节点总数和网络事件种类,获得网络节点告警列表和网络事件告警列表,具体包括:通过预设统计工具获取预设时间间隔内网络节点生成的网络日志,以通过网络日志,统计预设时间间隔内网络事件总数、网络节点总数、网络事件种类;通过网络节点平均风险值计算公式:,获得网络节点平均风险值;其中,n为网络事件集合,n为网络节点总数,m为网络事件种类,为第i个网络事件风险值,为第i个网络事件的发生频次;通过预设网络节点告警激活函数:,获得节点告警激活值,以在节点告警激活值大于预设节点激活阈值时,将网络节点和节点告警激活值添加至网络节点告警列表;其中,θ为预设调节参数,nr为网络节点风险值,为告警激活值;通过网络事件平均风险值计算公式:,获得网络事件平均风险值;通过预设网络事件告警激活函数:,获得事件告警激活值,以在事件告警激活值大于预设事件激活阈值时,将网络节点和事件告警激活值添加至网络节点告警列表。

8、第二方面,本技术提供了一种基于网络节点风险评估的告警过滤系统,系统包括:确定模块,用于基于网络节点ip,将预设时间间隔内的网络事件进行聚合;按照网络节点ip生成事件文档;根据事件文档、事件文档中的网络事件和idf公式,确定网络事件风险值;获得模块,用于获取网络节点对应的有向图的基本转移矩阵、第一阻尼系数,进而获得网络节点拓扑重要度;获取预设时间间隔内网络节点对应的访问用户数、各个网络节点被访问频次、全部网络节点被访问总频次、第二阻尼系数和网络节点总数,以获得网络节点影响度;获得网络节点对应的网络事件总数、网络事件的发生频次、第三阻尼系数、网络事件风险值、网络节点拓扑重要度和网络节点影响度,确定网络节点风险值;根据网络事件的发生频次、网络事件风险值、网络节点风险值、网络事件总数、网络节点总数和网络事件种类,获得网络节点告警列表和网络事件告警列表;形成模块,用于基于网络节点告警列表和网络事件告警列表,生成节点-事件去重集合,并以网络事件的排列顺序为第一基准,以网络节点的排列顺序为第二基准,形成最终告警排序结果。

9、进一步地,确定模块包括事件计算单元,用于根据idf公式:,,计算网络事件对应的idf值;其中,a为任一事件文档,a为所有事件文档集合,|a|是所有事件文档的数量n为网络事件集合,|n|是事件文档中网络事件的数量;根据事件扩散度公式:,,计算网络事件的扩散度;其中,为第i个网络事件的扩散度,为预设时间间隔内的平均值;根据预设风险值计算公式:,确定网络事件风险值;其中,为第i个网络事件风险值。

10、进一步地,获得模块包括拓扑计算单元,用于获取网络节点和网络节点之间的连接方式,以生成网络节点对应的有向图,进而基于网络节点对应的有向图获得基本转移矩阵;通过预设参数编辑界面获取第一阻尼系数;通过预设拓扑重要度计算公式:,计算网络节点拓扑重要度;其中,d为第一阻尼系数;m为基本转移矩阵;为上一次迭代的pr值,且的初始值为1;n为网络节点总数;e为所有分量为1的n维向量。

11、第三方面,本技术提供了一种非易失性计算机存储介质,其上存储有计算机指令,计算机指令在被执行时实现如上述任一项的一种基于网络节点风险评估的告警过滤方法。

12、本领域技术人员能够理解的是,本技术至少具有如下有益效果:

13、1.本技术计算速度快,并没有高复杂度的计算公式,可以快速适应业务的迁移或变化。2.本技术是无监督的,不需要太多的人工成本。3.本技术创新性的将nlp(naturallanguage processing 自然语言处理)中的tf-idf方法应用到了事件风险评估中,并有效的对事件风险进行了评估。4.本技术结合了网络节点风险和事件自身风险,对事件告警重要性进行了有效排序。5.本技术可以有效的对告警进行过滤。

当前第1页1 2 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1