[发明专利]一种基于置信度的网络安全告警处理方法

权利要求书

1.一种基于置信度的网络安全告警处理方法，其特征在于，包括以下步骤：

步骤1：置信度获取，收集互联网上的常用的网络攻击的向量和Web系统正常的请求，然后利用机器学习方法搭建机器模型，接下来利用标注好的训练数据对机器模型进行训练，获取到具有分类效果的分类器；

训练好的机器学习模型的输出是一个一维数组,数组中的数据代表的是请求为各类型攻击的概率，这里将正常的请求也看作是一种特殊的攻击;

然后将导致安全设备产生告警的原始请求输入到已经训练好的模型中进行打分评判，获取到模型输出的一维数组O，然后从一维数组O中获取到最大的数据值α，0α1，及其在数组中的位置P，α即为告警的置信度，P则代表攻击的类型，从而获取到告警的置信度和告警的攻击类型;

步骤2，告警剔除，依据模型的准确度和模型输出的告警置信度，将告警进行分类，告警分为三类：可直接剔除类，高度疑似类，和确认为攻击;

步骤3，告警聚合形成高级告警，告警聚合方法是，先按照告警时间进行告警排序，然后按照告警的攻击类型，告警发生的时间，告警的源IP进行告警相似度计算，对于相似度大于0.75的两条告警，将其归属于同一个高级告警。

2.根据权利要求1所述的一种基于置信度的网络安全告警处理方法,其特征在于，

告警进行分类包括如下步骤：

分级方法是基于模型准确度f，0f1，按照0.1，0.15的比例进行分级，具体的分级方式如下；

告警的置信度为a，

af或者f-a0.1则，该告警归为确定为攻击类；

0.1=f-a=0.25则告警归为高度疑似；

f-a0.25的归为直接剔除类；

模型准确度f如下式：

f=accuracy=(TP+TN)/(TP+FN+FP+TN)（1.1）

式中，TP：被模型预测为正的正样本；FP：被模型预测为正的负样本；FN：被模型预测为负的正样本；TN：被模型预测为负的负样本；

其中：0.1和0.15为两个设定的阈值，可以根据实际情况进行调整。