【技术实现步骤摘要】
本专利技术涉及计算机,特别涉及一种soar剧本生成方法、装置设备及可读存储介质。
技术介绍
1、随着技术的不断进步,不断升级的网络威胁和攻击激增了安全管理的复杂性。传统的安全运营方法以及相应手动方法难以应对快速发展的安全事件,安全团队需要处理大量的威胁,随着这些威胁的复杂性不断提升,soar(security orchestration,automation,and response,安全编排、自动化和响应)应运而生,该技术极大提高了安全响应速度、降低了人工错误,使得安全团队能够更好的管理、调查以及应对安全事件,确保组织网络和数据的安全性。
2、目前市面上的soar剧本多为基于安全运营人员的经验,人工通过业务流引擎,通过配置相应的业务流程环节(控制器、条件逻辑、定时器、触发器、关联设备)从而完成相关剧本的生成。在实际运营过程中,新场景的出现和现有场景流程的调整也是基于人的经验来进行。并且传统soar剧本生成方法是基于安全运营人员历史经验形成的固化场景,随着网络环境的复杂性提升以及攻击方式的不断新增,固化的soar很难满足新场景下安全业务的出现。
3、因此,如何灵活的自适应生成soar剧本是本领域技术人员关注的重点问题。
技术实现思路
1、有鉴于此,本专利技术的目的在于提供一种soar剧本生成方法、装置设备及可读存储介质,解决了现有技术中不能自适应生成soar剧本的问题。
2、为解决上述技术问题,本专利技术提供了一种soar剧本生成方法,包括:p>
3、获取告警数据;
4、对所述告警数据进行特征值化处理,得到特征值化数据;
5、将所述特征值化数据输入到基于随机森林算法预先构建的soar剧本生成模型中,得到特征值化处理的soar操作;
6、将所述特征值化处理的soar操作进行反向处理,得到最终soar操作,并生成所述告警数据的soar剧本。
7、可选的,所述基于随机森林算法预先构建的soar剧本生成模型,包括:
8、获取历史安全事件中的原始告警数据和所述原始告警数据对应的soar操作;
9、将所述原始告警数据和所述soar操作进行特征值化处理,得到特征值化数据;
10、利用随机森林算法对所述特征值化数据进行分析,得到所述soar剧本生成模型。
11、可选的,所述利用随机森林算法对所述特征值化数据进行分析,得到所述soar剧本生成模型,包括:
12、步骤1:将所述特征值化数据作为样本数据,利用bootstrap方法对所述样本数据进行划分,得到训练样本集和测试样本集;
13、步骤2:计算所述训练样本集的信息熵;
14、步骤3:从所述训练样本集中随机抽取包含k个特征的候选属性子集,计算所述候选属性子集中各特征的条件熵,利用所述信息熵和所述条件熵计算得到各特征的信息增益;
15、步骤4:计算所述候选属性子集的信息增益均值,将大于所述信息增益均值且大于预设信息增益精度阈值的特征作为第一特征集,计算所述第一特征集中各特征的信息增益比,将信息增益比最高的特征作为划分特征;
16、步骤5:根据所述划分特征对所述训练样本集进行划分;
17、步骤6:循环执行所述步骤1至所述步骤5,直至满足预设终止划分条件,则停止划分,得到多棵决策树;
18、步骤7:利用所述测试样本集对各棵所述决策树进行测试,得到测试精度;
19、步骤8:将所述测试精度大于预设精度阈值的决策树保留,得到所述soar剧本生成模型。
20、可选的,所述直至满足预设终止划分条件,则停止划分,包括:
21、当划分后得到的训练样本集中所有训练样本的soar操作都属于同一类,则停止划分;
22、或,当所有的特征均已作为划分特征进行了训练样本集的划分,则停止划分;
23、或,当待划分的样本数据过少,则停止划分。
24、可选的,所述计算所述候选属性子集中各特征的条件熵,包括:
25、对于所述候选属性子集中的离散特征,则根据所述离散特征的各个取值划分子样本集,计算所述子样本集的信息熵,利用所述信息熵计算得到所述条件熵;
26、对于所述候选属性子集中的连续特征,则对所述连续特征进行排序,当两个连续特征对应的soar操作发生改变时,且所述两个连续值的差值大于预设特征阈值时,将所述两个连续值的中位数作为候选切分点,利用所述候选切分点将所述连续特征转换为离散特征计算所述条件熵。
27、可选的,所述获取历史安全事件中的原始告警数据和所述原始告警数据对应的soar操作,包括:
28、获取包括源ipgeo信息、源ip重要程度、源ip资产类型、目的ipgeo信息、目的ip重要程度、目的ip资产类型、攻击方向、告警名称、攻击结果、告警设备的所述原始告警数据;
29、获取包括分级、联动防护和误报结果的所述soar操作。
30、可选的,还包括:
31、获取采集所述原始告警数据的安全设备;
32、根据所述安全设备将所述原始告警数据和所述soar操作划分为基于不同安全设备的数据集;
33、利用所述随机森林算法分别对所述不同安全设备的数据集进行分析,得到针对不同安全设备的soar剧本生成模型;
34、相应的,所述将所述特征值化数据输入到预先构建的基于随机森林算法的soar剧本生成模型中,得到特征值化处理的soar操作:
35、获取采集所述告警数据的安全设备;
36、根据所述安全设备从所述针对不同安全设备的soar剧本生成模型中确定目标soar剧本生成模型;
37、将所述特征值化数据输入到所述目标soar剧本生成模型中。
38、本专利技术还提供了一种soar剧本生成装置,包括:
39、获取模块,用于获取告警数据;
40、特征值化处理模块,用于对所述告警数据进行特征值化处理,得到特征值化数据;
41、输入模块,用于将所述特征值化数据输入到基于随机森林算法预先构建的soar剧本生成模型中,得到特征值化处理的soar操作;
42、生成模块,用于将所述特征值化处理的soar操作进行反向处理,得到最终soar操作,并生成所述告警数据的soar剧本。
43、本专利技术还提供了一种soar剧本生成设备,包括:
44、存储器,用于存储计算机程序;
45、处理器,用于执行所述计算机程序时实现上述的soar剧本生成方法的步骤。
46、本专利技术还提供了一种可读存储介质,所述可读存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现上述的soar剧本生成的步骤。
47、可见,本专利技术通过获取告警数据;对告警数据进行特征值化处理,得到特征值化数据;将特征值化数据输入到基于随机本文档来自技高网...
【技术保护点】
1.一种SOAR剧本生成方法,其特征在于,包括:
2.一种SOAR剧本生成方法,其特征在于,所述基于随机森林算法预先构建的SOAR剧本生成模型,包括:
3.根据权利要求2所述的SOAR剧本生成方法,其特征在于,所述利用随机森林算法对所述特征值化数据进行分析,得到所述SOAR剧本生成模型,包括:
4.根据权利要求3所述的SOAR剧本生成方法,其特征在于,所述直至满足预设终止划分条件,则停止划分,包括:
5.根据权利要求3所述的SOAR剧本生成方法,其特征在于,所述计算所述候选属性子集中各特征的条件熵,包括:
6.根据权利要求2所述的SOAR剧本生成方法,其特征在于,所述获取历史安全事件中的原始告警数据和所述原始告警数据对应的SOAR操作,包括:
7.根据权利要求1至6任一项所述的SOAR剧本生成方法,其特征在于,还包括:
8.一种SOAR剧本生成装置,其特征在于,包括:
9.一种SOAR剧本生成设备,其特征在于,包括:
10.一种可读存储介质,其特征在于,所述可读存储介质中存
...【技术特征摘要】
1.一种soar剧本生成方法,其特征在于,包括:
2.一种soar剧本生成方法,其特征在于,所述基于随机森林算法预先构建的soar剧本生成模型,包括:
3.根据权利要求2所述的soar剧本生成方法,其特征在于,所述利用随机森林算法对所述特征值化数据进行分析,得到所述soar剧本生成模型,包括:
4.根据权利要求3所述的soar剧本生成方法,其特征在于,所述直至满足预设终止划分条件,则停止划分,包括:
5.根据权利要求3所述的soar剧本生成方法,其特征在于,所述计算所述候选属性子集中各特征的条件熵,包括:...
【专利技术属性】
技术研发人员:宋建昌,孙学军,
申请(专利权)人:杭州安恒信息安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。