一种横向威胁感知方法、装置、设备、介质及产品与流程

本发明涉及网络安全，尤其涉及一种横向威胁感知方法、装置、设备、介质及产品。

背景技术：

1、随着网络技术的发展，网络安全问题日益突出。其中，异常威胁感知是网络安全领域的重要研究方向之一，其目的是通过对网络中的异常行为进行实时监测和预警，以防止潜在的安全风险。

2、在现有技术中，异常威胁感知主要通过对网络流量进行实时监控，并基于预设的规则或模型对监控数据进行分析，以识别出可能的异常行为。例如，可以通过设置阈值，当监控数据超过该阈值时，即认为发生了异常行为。同时，事件处理主要是通过对检测到的异常事件进行及时处理，以避免造成更大的损失，例如，可以对异常事件进行隔离、封堵等操作，以防止攻击者进一步入侵。

3、然而，由于网络流量的复杂性和多样性，基于预设规则或模型的异常威胁感知方法可能无法准确识别出所有的异常行为，无法及时有效地应对复杂的异常事件，当面对大规模的分布式攻击时，现有方法无法有效应对。因此，如何提高异常威胁感知的准确性和效率，是当前网络安全领域亟待解决的问题。

技术实现思路

1、本发明实施例所要解决的技术问题是：提供了一种横向威胁感知方法，通过将告警日志聚合并采用隐马尔可夫模型，能够提高异常威胁感知的准确性和效率。

2、为了解决上述技术问题，第一方面，本发明实施例提供一种横向威胁感知方法，包括：

3、获取安全设备在预设时间段内发生的告警事件的告警日志；

4、基于所述告警日志，采用图嵌入算法和lda模型得到综合特征向量；

5、根据所述综合特征向量计算特征相似度，根据所述特征相似度对所述告警日志进行聚合，得到聚合后的告警日志簇；

6、对所述告警日志簇使用训练好的隐马尔可夫模型进行判别；

7、根据判别结果输出所述告警日志簇的状态类别。

8、进一步的，所述基于所述告警日志，采用图嵌入算法和lda模型得到综合特征向量，包括：

9、提取所述告警日志的关键词，使用图嵌入算法对所述关键词进行转化，得到特征向量；

10、采用lda模型获取所述告警信息的主题分布向量，将所述主题分布向量与所述特征向量进行加权融合，得到综合特征向量。

11、进一步的，所述根据所述综合特征向量计算特征相似度，根据所述特征相似度对所述告警日志进行聚合，包括：

12、统计所述告警日志中源地址的出现频率；

13、将所述出现频率大于预设频率阈值的源地址对应的告警日志删除，得到待聚合日志；

14、利用余弦相似度计算所述综合特征向量之间的特征相似度；

15、根据所述特征相似度，采用动态聚合算法对所述待聚合日志进行聚合。

16、进一步的，所述提取所述告警日志的关键词，使用图嵌入算法对所述关键词进行转化，得到特征向量，包括：

17、获取所述关键词在所述告警日志中的关联关系；

18、根据所述关联关系和所述关键词构建词汇图；

19、采用图嵌入算法，将所述词汇图转化为特征向量。

20、进一步的，所述对所述告警日志簇使用训练好的隐马尔可夫模型进行判别，包括：

21、获取各个告警事件类别的历史告警日志；

22、构建隐马尔可夫模型，将所述历史告警日志作为训练集，对所述隐马尔可夫模型进行训练；

23、将所述告警日志簇输入到训练好的隐马尔可夫模型中，输出判别结果。

24、进一步的，所述根据判别结果输出所述告警日志簇的状态类别之后，还包括：

25、根据所述告警日志簇的状态类别进行异常行为识别，得到潜在的异常设备。

26、为了解决上述技术问题，第二方面，本发明实施例提供一种横向威胁感知装置，包括：

27、告警日志获取模块，用于获取安全设备在预设时间段内发生的告警事件的告警日志；

28、综合特征向量计算模块，用于基于所述告警日志，采用图嵌入算法和lda模型得到综合特征向量；

29、告警日志聚合模块，用于根据所述综合特征向量计算特征相似度，根据所述特征相似度对所述告警日志进行聚合，得到聚合后的告警日志簇；

30、告警日志簇判别模块，用于对所述告警日志簇使用训练好的隐马尔可夫模型进行判别；

31、判别结果输出模块，用于根据判别结果输出所述告警日志簇的状态类别。

32、为了解决上述技术问题，第三方面，本发明实施例提供一种电子设备，包括：

33、存储器，用于存储计算机程序；

34、处理器，用于执行所述计算机程序；

35、其中，所述处理器执行所述计算机程序时实现上述第一方面任一项所述的横向威胁感知方法。

36、为了解决上述技术问题，第四方面，本发明实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被执行时实现上述第一方面任一项所述的横向威胁感知方法。

37、为了解决上述技术问题，第五方面，本发明实施例提供一种计算机程序产品，包括计算机指令，所述计算机指令被处理器执行时实现上述第一方面任一项所述的横向威胁感知方法。

38、与现有技术相比，本发明实施例提供的一种横向威胁感知方法，其有益效果在于：通过获取安全设备在预设时间段内发生的告警事件的告警日志；基于所述告警日志，采用图嵌入算法和lda模型得到综合特征向量；根据所述综合特征向量计算特征相似度，根据所述特征相似度对所述告警日志进行聚合，得到聚合后的告警日志簇对所述告警日志簇使用训练好的隐马尔可夫模型进行判别；根据判别结果输出所述告警日志簇的状态类别，能够提高异常威胁感知的准确性，以及提高应对异常事件的处理能力，防止潜在的安全风险。

技术特征：

1.一种横向威胁感知方法，其特征在于，包括：

2.如权利要求1所述的横向威胁感知方法，其特征在于，所述基于所述告警日志，采用图嵌入算法和lda模型得到综合特征向量，包括：

3.如权利要求1所述的横向威胁感知方法，其特征在于，所述根据所述综合特征向量计算特征相似度，根据所述特征相似度对所述告警日志进行聚合，包括：

4.如权利要求2所述的横向威胁感知方法，其特征在于，所述提取所述告警日志的关键词，使用图嵌入算法对所述关键词进行转化，得到特征向量，包括：

5.如权利要求1所述的横向威胁感知方法，其特征在于，所述对所述告警日志簇使用训练好的隐马尔可夫模型进行判别，包括：

6.如权利要求1所述的横向威胁感知方法，其特征在于，所述根据判别结果输出所述告警日志簇的状态类别之后，还包括：

7.一种横向威胁感知装置，其特征在于，包括：

8.一种电子设备，其特征在于，包括：

9.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，所述计算机程序被执行时实现如权利要求1至6任一项所述的横向威胁感知方法。

10.一种计算机程序产品，其特征在于，包括计算机指令，所述计算机指令被处理器执行时实现如权利要求1至6任一项所述的横向威胁感知方法。

技术总结
本发明公开了一种横向威胁感知方法。包括：获取安全设备在预设时间段内发生的告警事件的告警日志；基于所述告警日志，采用图嵌入算法和LDA模型得到综合特征向量；根据所述综合特征向量计算特征相似度，根据所述特征相似度对所述告警日志进行聚合，得到聚合后的告警日志簇；对所述告警日志簇使用训练好的隐马尔可夫模型进行判别；根据判别结果输出所述告警日志簇的状态类别。能够提高异常威胁感知的准确性和应对异常事件的处理能力，防止潜在的安全风险。

技术研发人员：李强强,周波,钱锦,王瑞鹏,杜文俊,何荣,陈佳琪,姚毅滨,罗俊,景致,王诗琦
受保护的技术使用者：国网浙江省电力有限公司杭州市富阳区供电公司
技术研发日：
技术公布日：2024/6/26