[发明专利]一种面向海量网络攻击的快速研判方法

说明书

本发明是有关于一种面向海量网络攻击数据的研判方法、系统及介质，涉及网络安全技术、人工智能、大数据领域，其中方法包括：对海量网络攻击数据进行自动化特征抽取，根据属性特征利用算法筛选出最有价值的攻击数据交予人工研判，通过人工研判结果对数据进行标注，利用标注后的数据与剩余网络攻击数据进行相似性计算，对相似的网络攻击数据进行自动标注。不相似的数据再次进行筛选，直至全部标注完毕。此方法，通过研判人员能力的约束结合算法的泛化能力，使得有价值的网络攻击可以优先被研判，相似的事件自动被研判。在实际生产中能够在保证研判效果的同时也降低需要人工研判的网络攻击数量，整体提升研判效率。

技术领域

本发明涉及一种网络安全领域的网络攻击的研判方法，特别是涉及一种面向海量网络攻击的快速研判方法。

背景技术

目前针对网络的各种攻击行为、攻击手段呈几何形式增长。针对网络攻击，也出现了自主研发的多款网络安全产品。在实际生产中，多款的安全设备每天产生着大量的告警事件，大量的告警事件往往需要花费大量的人力物力进行分析研判。当前现有常见的技术方案是：

其一是首先模拟网络攻击构建知识图谱，生成通用的规则库。当有新的网络攻击出现时则在时间窗口内统计由目的IP产生相同威胁要素的次数以及目的IP产生的不同威胁要素与设定的威胁要素组合中匹配能成功的个数，然后与设定的阈值进行比较，大于等于阈值的情况则与安全知识图谱进行匹配，小于阈值的情况则将威胁要素缓存，与下一时间窗口内的威胁要素一起进行计算。最后依据节点IP在场景知识图谱中寻找对应的实例的属性，根据属性值判断是否具备被攻击的条件，如果具备被攻击的条件，则认为是有效的单步攻击，反之认为是无效攻击，将其过滤。该技术方案对各类专家知识库要求较高，前期需要大量的模拟实验。其次其过分依赖专家知识库，当接入的安全事件未在专家知识库中时，容易造成误。

其二是通过对网络攻击数据研判业务进行优化，对网络安全攻击事件的研判人员进行合理调配，使得研判人员能分发到自己擅长处理的网络攻击数据，同一个网络攻击数据不会分发给不同的研判人员。通过对网络攻击数据和研判人员能力的干预，使得紧急的网络攻击数据能得到及时的响应，提前做好安全防护或减小网络攻击产生的破坏，同时也能提升整体研判效率。

但该方法虽然通过对网络安全事件进行分发，使得研判人员研判自己擅长的领域，但是并未改变需要研判网络攻击事件的总量。当面对海量网络攻击事件时，人海战术并不是最优的选择。

有鉴于上述现有的技术方案存在的缺陷，本发明人经过不断的研究、设计，并经反复试作及改进后，终于创设出确具实用价值的本发明。

发明内容

本发明的主要目的在于，克服现有的网络攻击的研判方法存在的缺陷，而提供一种新的一种面向海量网络攻击的快速研判方法，所要解决的是面向海量网络攻击的研判速度慢、不能保证质量的技术问题，使其有效保证研判的速度与质量，非常适于实用。

本发明的另一目的在于，提供一种新的一种面向海量网络攻击的快速研判方法，所要解决的技术问题是使其通过人机协同的方式，分析人员只需研判最有价值的事件，其余部分由机器自动进行研判。能够在保证研判质量的同时最大限度的减少人工成本，从而更加适于实用。

本发明的目的及解决其技术问题是采用以下技术方案来实现的。依据本发明提出的一种面向海量网络攻击的快速研判方法，其包括以下步骤：

步骤1：通过孤立森林算法获取告警事件中最有价值的样本交于人工研判；

步骤2：通过人工研判，对筛选出的数据进行标注；

步骤3：对已经人工研判后的样本进聚类，自动进行研判；

步骤4：将剩余数据重复1～3步，直至满足设置条件停止迭代。

进一步，所述的步骤1包括以下步骤：

步骤1.1：特征提取，将文本进行切割，拼接生成词向量；