[发明专利]一种基于置信度的网络安全告警处理方法

说明书

本发明提出了一种基于置信度的网络安全告警处理办法，包括了置信度获取，告警分级剔除，告警聚合三个步骤。置信度获取步骤采用机器学习方法，通过机器学习模型获取到原始告警的置信度。然后利用置信度先对原始告警进行剔除和分级操作。分级完成后先对确认为攻击的告警进行告警聚合，得到高级告警。若得到的高级告警不足以满足分析需求，再对高度疑似的告警进行告警聚合得到更多的高级告警。

技术领域

本发明提出了一种基于置信度的网络安全告警处理方法，用于剔除无用的，冗余的网络安全设备告警，提高网络安全入侵事件的分析效率。属于网络安全领域。

背景技术

随着计算机信息通信技术的高速发展，网络安全攻击事件时有发生。现阶段下，企事业单位对于安全攻击事件的防御和复盘分析基本都依赖于安全设备，以及安全设备产生的日志。当前的网络安全设备普遍存在误报和漏报的情况，并且在互联网上充斥着大量的肉鸡，这些肉鸡经常性得被不法分子用作扫描器对全网进行扫描。因此网络安全设备还会产生大量的无用的告警。

发明内容

针对当前互联网中充斥着大量的肉鸡扫描器以及当前网络安全设备存在大量的误报漏报的情况。本发明了提出一种基于置信度的网络安全告警处理方法。其目的在于提高在网络安全入侵事件复盘分析时的效率，帮助安全分析人员更快速地定位攻击者得入口点，分析攻击者地攻击过程，评估攻击产生的影响。

一种基于置信度的网络安全告警处理方法,包括以下步骤：

步骤1：置信度获取，收集互联网上的常用的网络攻击的向量和Web系统正常的请求，然后利用机器学习方法搭建机器模型，接下来利用标注好的训练数据对机器模型进行训练，获取到具有分类效果的分类器；

训练好的机器模型的输出是一个一维数组，数组中的数据代表的是请求为各类型攻击的概率，这里将正常的请求也看作是一种特殊的攻击；

例如，对于一条输入的请求数据I，模型输出的一维数组0为[0.2,0.7,0.1]，数组中的数据代表的是请求为各类型攻击的概率，这里将正常的请求也看作是一种特殊的攻击。

假设在训练模型时，数据的标签是按照正常请求、XSS请求、SQL注入请求这样的顺序进行排列的，即正常的请求的标签是[1,0,0]，XSS请求的标签是[0,1,0]，SQL注入请求标签为[0,0,1]；这样就可以知道请求i很有可能是一条XSS攻击请求，且模型判断i为XSS攻击请求的概率为0.7.

然后将导致安全设备产生告警的原始请求输入到已经训练好的模型中进行打分评判，获取到模型输出的一维数组，保留一维数组中数值最大的数据α(0α1)，及其在数组中的位置P，α即为告警的置信度，P则代表告警的类型，获取到告警的置信度和告警的攻击类型。

步骤2，告警剔除，依据模型的准确度和模型输出的告警置信度，将告警进行分类，告警可分为可直接剔除类，高度疑似类，和确认为攻击的三类告警。

步骤3，告警聚合形成高级告警，告警聚合方法是，先按照告警时间进行告警排序，然后按照告警的类型，告警发生的时间，告警的源IP进行告警相似度计算，对于相似度大于0.75的两条告警，将其归属于同一个高级告警。

上述技术方案中，告警进行分类包括如下步骤：

分级方法是基于模型准确度f(0f1)和告警置信度进行分级的；

告警的置信度为a，

af或者f-a0.1则，该告警归为确定为攻击类；

0.1＝f-a＝0.25则告警归为高度疑似；

f-a0.25的归为直接剔除类；

0.1和0.25是一个给定的阈值，可根据实际场景进行动态调整。

模型准确度f如下式：