一种机器学习安全场景检测方法及装置制造方法及图纸

本申请涉及一种机器学习安全场景检测方法及装置，属于人工智能中机器学习的安全检测技术领域，该方法包括：显示对安全场景的操作界面，该操作界面中包括特征数据组件集、算法组件集和策略组件集；针对每个组件关联关系，生成一个检测逻辑，该组件关联关系是指特征数据组件集中目标特征数据组件和算法组件集中目标算法组件的关联关系，目标特征数据组件与目标算法组件相对应；响应于检测操作，根据各个检测逻辑和策略组件集中目标策略组件，生成检测策略；向服务端发送携带有检测策略的检测请求，以使服务端进行安全威胁检测；接收安全威胁情况并进行可视化展示。本申请无需编码即可实现对所有机器学习安全场景的检测，减少重复工作。复工作。复工作。

【技术实现步骤摘要】
一种机器学习安全场景检测方法及装置


[0001]本申请涉及安全检测
，尤其涉及一种机器学习安全场景检测方法及装置。

技术介绍

[0002]随着网络安全技术的发展，企业会通过SOC(Security Operation Center，安全运营中心)来保护自己的资产和数据，以保证安全运营。
[0003]在企业SOC环境下，企业数据量巨大，需要从海量数据中发现未知威胁，而大数据计算引擎与机器学习是解决这一问题的主要方法。但是目前在利用机器学习进行安全场景检测的方案中，存在以下问题：需要为每个安全场景开发一个脚本文件来检测，导致开发新的基于机器学习的安全场景需要很长的时间周期，加上不同场景检测之间存在许多重复工作，严重影响安全威胁检测效率；在进行安全威胁检测时，使用有监督方式，无法适应相同客户或不同客户的环境的动态变化；使用通用算法进行模型训练得到的模型进行检测，存在误报的可能，给企业安全带来隐患；不能满足客户参与检测过程与查看检测结果的一体化体验。由于上述问题的存在，使得企业在使用SOC进行机器学习安全场景检测时存在较差的用户体验。

技术实现思路

[0004]本申请提供一种机器学习安全场景检测方法及装置，能够避免为每个安全场景开发脚本文件，减少重复工作，缩短机器学习安全场景的上线周期，提高检测准确度。
[0005]一方面，本申请提供了一种机器学习安全场景检测方法，其特征在于，所述方法包括：
[0006]显示对安全场景的操作界面，所述操作界面中包括特征数据组件集、算法组件集和策略组件集；
[0007]响应于每个组件关联操作，生成一个检测逻辑，所述组件关联操作是指所述特征数据组件集中目标特征数据组件和所述算法组件集中目标算法组件的关联操作，所述目标特征数据组件与所述目标算法组件相对应；
[0008]响应于检测操作，根据各个所述检测逻辑和所述策略组件集中目标策略组件，生成检测策略；
[0009]向服务端发送检测请求，以使所述服务端对所述安全场景进行安全威胁检测，所述检测请求携带有所述检测策略；
[0010]接收安全威胁情况，对所述安全威胁情况进行可视化展示。
[0011]另一方面，提供了一种机器学习安全场景检测方法，所述方法包括：
[0012]接收检测请求，所述检测请求携带有检测策略；
[0013]从所述检测策略中获取目标策略参数和各个检测任务；
[0014]对于每个所述检测任务，基于所述检测任务中目标特征数据参数，对所述检测任
务对应的源数据进行特征提取，得到所述检测任务的目标特征；
[0015]基于所述检测任务的目标特征和所述检测任务中目标算法参数进行安全威胁检测，得到所述检测任务的检测结果；
[0016]基于所述目标策略参数对各个所述检测结果进行分析，得到安全威胁情况；
[0017]向操作端发送所述安全威胁情况，以使所述操作端对所述安全威胁情况进行可视化展示。
[0018]另一方面，提供了一种机器学习安全场景检测装置，所述装置包括：
[0019]场景编辑模块，用于显示对安全场景的操作界面，所述操作界面中包括特征数据组件集、算法组件集和策略组件集；
[0020]逻辑生成模块，用于响应于每个组件关联操作，生成一个检测逻辑，所述组件关联操作是指所述特征数据组件集中目标特征数据组件和所述算法组件集中目标算法组件的关联操作，所述目标特征数据组件与所述目标算法组件相对应；
[0021]策略生成模块，用于响应于检测操作，根据各个所述检测逻辑和所述策略组件集中目标策略组件，生成检测策略；
[0022]请求发送模块，用于向服务端发送检测请求，以使所述服务端对所述安全场景进行安全威胁检测，所述检测请求携带有所述检测策略；
[0023]结果展示模块，用于接收安全威胁情况，对所述安全威胁情况进行可视化展示。
[0024]另一方面，提供了一种机器学习安全场景检测装置，所述装置包括：
[0025]请求接收模块，用于接收检测请求，所述检测请求携带有检测策略；
[0026]数据获取模块，用于从所述检测策略中获取目标策略参数和各个检测任务；
[0027]特征提取模块，用于对于每个所述检测任务，基于所述检测任务中目标特征数据参数，对所述检测任务对应的源数据进行特征提取，得到所述检测任务的目标特征；
[0028]算法模块，用于基于所述检测任务的目标特征和所述检测任务中目标算法参数进行安全威胁检测，得到所述检测任务的检测结果；
[0029]策略模块，用于基于所述目标策略参数对各个所述检测结果进行分析，得到安全威胁情况；
[0030]结果返回模块，用于向操作端发送所述安全威胁情况，以使所述操作端对所述安全威胁情况进行可视化展示。
[0031]本申请实施例通过操作界面所提供的特征数据组件集、算法组件集和策略组件集，实现机器学习安全场景整个检测过程从特征提取到模型训练再到结果处理的快速配置，用户在不需要进行编码的情况下就可以参与检测过程；将整个检测过程进行组件化，避免了重复编码工作，缩短安全场景上限周期，提升安全威胁检测效率；通过选择算法组件集中不同算法组件，进而实现不同安全场景下的检测任务，提升安全威胁检测准确率；通过选择策略组件集中不同策略组件，可以实现对检测结果的不同处理方式，进而得到在不同维度上的表现；通过对安全威胁情况进行可视化展示，提升用户体验。
附图说明
[0032]为了更清楚地说明本申请实施例或现有技术中的技术方案和优点，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅
仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它附图。
[0033]图1是本申请实施例提供的一种机器学习安全场景检测系统的架构示意图。
[0034]图2a是本申请实施例提供的安全场景的管理界面示意图。
[0035]图2b是本申请实施例提供的操作界面示意图。
[0036]图3是本申请实施例提供的一种机器学习安全场景检测方法的流程示意图。
[0037]图4a是本申请实施例提供的一种特征数据参数的界面示意图。
[0038]图4b是本申请实施例提供的算法参数的界面示意图。
[0039]图4c是本申请实施例提供的策略参数的界面示意图。
[0040]图4d是本申请实施例提供的安全场景配置示意图。
[0041]图4e是本申请实施例提供的另一种特征数据参数的界面示意图。
[0042]图5a是本申请实施例提供的可视化展示界面示意图。
[0043]图5b是本申请实施例提供的异常详情界面示意图。
[0044]图6是本申请实施例提供的另一种机器学习安全场景检测方法的流程示意图。
[0045]图7是本申请实施例提供的机器学习检测框架的架构示意图。
[0046]图本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种机器学习安全场景检测方法，其特征在于，所述方法包括：显示对安全场景的操作界面，所述操作界面中包括特征数据组件集、算法组件集和策略组件集；响应于每个组件关联操作，生成一个检测逻辑，所述组件关联操作是指所述特征数据组件集中目标特征数据组件和所述算法组件集中目标算法组件的关联操作，所述目标特征数据组件与所述目标算法组件相对应；响应于检测操作，根据各个所述检测逻辑和所述策略组件集中目标策略组件，生成检测策略；向服务端发送检测请求，以使所述服务端对所述安全场景进行安全威胁检测，所述检测请求携带有所述检测策略；接收安全威胁情况，对所述安全威胁情况进行可视化展示。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：响应于组件运行操作，确定所要运行的目标组件；向服务端发送组件运行请求，以使所述服务端运行所述目标组件，所述组件运行请求携带有所述目标组件对应的目标参数。3.根据权利要求1所述的方法，其特征在于，所述方法还包括：响应于模式选择操作，确定对所述安全场景的调度模式；在所述调度模式为生产模式时，开启定时器；按照所述定时器的定时周期，触发所述检测操作。4.一种机器学习安全场景检测方法，其特征在于，所述方法包括：接收检测请求，所述检测请求携带有检测策略；从所述检测策略中获取目标策略参数和各个检测任务；对于每个所述检测任务，基于所述检测任务中目标特征数据参数，对所述检测任务对应的源数据进行特征提取，得到所述检测任务的目标特征；基于所述检测任务的目标特征和所述检测任务中目标算法参数进行安全威胁检测，得到所述检测任务的检测结果；基于所述目标策略参数对各个所述检测结果进行分析，得到安全威胁情况；向操作端发送所述安全威胁情况，以使所述操作端对所述安全威胁情况进行可视化展示。5.根据权利要求4所述的方法，其特征在于，在所述对于每个所述检测任务，基于所述检测任务的目标特征数据参数，对所述检测任务对应的源数据进行特征提取，得到所述检测任务的目标特征之前，所述方法还包括：基于预设安全检测框架按照并行方式持续监控每个对象的行为，得到每个所述对象的行为数据。6.根据权利要求4所述的方法，其特征在于，所述目标特征数据参数包括所属协议、检测方式、转换函数、统计间隔和统计算子；所述对于每个所述检测任务，基于所述检测任务中目标特征数据参数，对所述检测任务对应的源数据进行特征提取，得到所述检测任务的目标特征，包括：对于每个所述检测任务，将所述检测任务中目标检测对象的目标行为数据，确定为所
述检测任务的源数据，所述目标行为数据是指与所述所属协议和所述检测方式匹配的行为数据；基于...

【专利技术属性】
技术研发人员：郭豪，陈嘉豪，洪春华，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：