[发明专利]一种告警预测方法及系统

权利要求书

1.一种告警预测方法，其特征在于，包括：

对历史告警信息进行预处理和数据集划分处理，得到样本特征向量集合；

使用样本特征向量集合训练集成学习模型，得到训练好的预测模型；

使用训练好的预测模型对网络安全设备发送的告警信息进行实时预测和告警；

若实时预测结果中的误判数量超过更新阈值，则使用增量学习的方式更新预测模型，得到新的预测模型。

2.根据权利要求1所述的方法，其特征在于，所述对历史告警信息进行预处理和数据集划分处理，得到样本特征向量集合，包括：

将历史告警信息依据源IP分类，得到源IP告警信息集合；

将源IP告警信息集合处理为多个等长时间段的段告警信息集合；

对各段告警信息集合依次进行数据采样和时序特征提取，得到对应各源IP历史告警信息集合的特征向量集合；

对特征向量集合进行数据集划分处理，得到样本特征向量集合。

3.如权利要求1所述的方法，其特征在于，所述使用样本特征向量集合训练集成学习模型，得到训练好的预测模型，包括：

将所述特征向量集合输入至所述集成学习模型；

使用分类算法，对所述特征向量集合中的各时序特征向量进行预测分类；

根据预测分类结果与各时序特征向量对应的源IP的标签，计算损失函数，对集成学习模型进行训练，得到训练好的预测模型。

4.如权利要求1所述的方法，其特征在于，所述使用训练好的预测模型对网络安全设备发送的告警信息进行实时预测和告警，包括：

对网络安全设备发送的实时告警信息集合进行预处理，得到对应各源IP的实时特征向量集合；

对实时特征向量集合进行预测分类，得到预测分类结果；

根据预测分类结果进行告警。

5.如权利要求1所述的方法，其特征在于，在所述若实时预测结果中的误判数量超过更新阈值之前，还包括：

获取各源IP的确认标签；

将确认标签与预测分类结果不同的源IP作为误判样本；

记录误判样本数量，得到误判数量

根据预测分类结果与各时序特征向量对应的源IP的标签。

6.根据权利要求1所述的方法，其特征在于，所述使用增量学习的方式更新预测模型，得到新的预测模型，包括：

更新历史告警信息，得到新的训练样本；

使用新的训练样本训练预测模型，更新预测模型中的模型参数，得到新的预测模型。

7.如权利要求2所述的方法，其特征在于，所述数据集划分包括：聚类检测和离群点检测。

8.如权利要求7所述的方法，其特征在于，所述离群点检测包括单分类支持向量机，Robust协方差，孤立森林算法和局部异常因子算法中的全部四种离群点检测算法。

9.一种告警预测系统，其特征在于，包括：

样本管理模块，用于获取网络安全设备发送的历史告警信息，对历史告警信息进行预处理和数据集划分处理，得到样本特征向量集合；

训练与更新模块，用于使用样本特征向量集合训练集成学习模型，得到训练好的预测模型；当实时预测结果中的误判数量超过更新阈值时，使用增量学习的方式更新预测模型，得到新的预测模型；

告警预测模块，用于使用训练好的预测模型对网络安全设备发送的告警信息进行实时预测和告警。

10.如权利要求9所述的系统，其特征在于，所述样本管理模块包括：

预处理单元，用于将历史告警信息依据源IP分类，得到源IP告警信息集合；将源IP告警信息集合处理为多个等长时间段的段告警信息集合；对各段告警信息集合依次进行数据采样和时序特征提取，得到对应各源IP历史告警信息集合的特征向量集合；

划分单元，用于对特征向量集合进行数据集划分处理，得到样本特征向量集合。