[发明专利]一种网络安全事件智能告警方法

说明书

本发明公开了一种网络安全事件智能告警方法,包括下列步骤:超参数优化步骤：基于网络安全历史数据，对于遵从分位数回归的长短期记忆网络模型的模型参数θ进行超参数优化,得到遵从分位数回归的长短期记忆网络模型的优选模型参数训练固化步骤：基于遵从分位数回归的长短期记忆网络模型的优选模型参数离线训练并固化遵从分位数回归的长短期记忆网络模型；智能告警区间计算步骤：基于网络安全在线数据，通过遵从分位数回归的长短期记忆网络模型计算网络安全的智能告警区间；区间比较步骤：将网络安全在线数据与智能告警区间进行比较，如果网络安全在线数据超出智能告警区间则告警。

技术领域

本发明涉及网络安全领域的一种网络安全事件智能告警方法。

背景技术

当前网络安全监控平台的安全告警规则中存在以下问题，比如安全告警规则中触发告警的阀值都是静态设置的，没有在复杂的网络环境中细化更合理的阀值动态设置，存在准确性不高的缺点，人工调整阈值参数工作量大，依赖人工经验，对于网络安全事件响应的智能化程度不够，无法适应日益严峻的网络安全形势。

发明内容

本发明的目的是为了克服现有技术的不足，提供一种网络安全事件智能告警方法，其可以根据网络安全历史数据，通过遵从分位数回归的长短期记忆网络的机器学习，实现告警阈值的全自动设置。

实现上述目的的一种技术方案是：一种网络安全事件智能告警方法,包括下列步骤:

超参数优化步骤：基于网络安全历史数据，对于遵从分位数回归的长短期记忆网络模型的模型参数θ进行超参数优化,得到遵从分位数回归的长短期记忆网络模型的优选模型参数

训练固化步骤：基于遵从分位数回归的长短期记忆网络模型的优选模型参数离线训练并固化遵从分位数回归的长短期记忆网络模型；

智能告警区间计算步骤：基于网络安全在线数据，通过遵从分位数回归的长短期记忆网络模型计算网络安全的智能告警区间；

区间比较步骤：将网络安全在线数据与智能告警区间进行比较，如果网络安全在线数据超出智能告警区间则告警。

进一步的，所述网络安全事件智能告警方法还包括告警分类步骤。

进一步的，超参数优化步骤中，令f(X_i,θ)为遵从分位数回归的长短期记忆网络模型的分位数回归函数，令ρ_u为遵从分位数回归的长短期记忆网络模型的损失函数；令ρ_u的下分位数u_lo＝u/2，令ρ_u的上分位数u_hi＝1-u/2；其中u∈(0,1)为显著性水平，则：

再进一步的，训练固化步骤中，首先将从历史安全数据库中读取的网络安全历史数据的N个样本划分为不相交的两个子集，即训练集Γ₁和校正集Γ₂；/

基于训练集Γ₁,训练上位数的回归模型下分位数的回归模型/即：其中Β为分位数回归算子；

基于校正集Γ₂,即i∈Γ₂,计算遵从分位数回归的长短期记忆网络模型的目标函数E，即

计算总体分位数Q_1-u，公式为：Q_1-u(E,Γ₂)＝(1-u)(1+1/|Γ₂|)；

输出预测区间C(X)，公式为：

其中X∈X_i。