【技术实现步骤摘要】
本申请实施例涉及数据处理领域,尤其涉及一种告警事件误报识别方法、装置、设备及介质。
技术介绍
1、随着信息技术的迅猛发展,各行各业的核心基础设施面临着日益严重的安全威胁,因此,网络安全成为各行各业亟待解决的重要问题。
2、现有告警系统通常基于预设规则或静态模型检测告警事件,缺乏动态适应能力。当面对新的威胁形式或复杂的攻击模式时,告警系统反应迟缓,难以及时调整策略,导致误报率高或漏报等问题。
技术实现思路
1、本申请实施例提供一种告警事件误报识别方法、装置、设备及介质,用以提高告警事件误报识别的准确度。
2、第一方面,本申请实施例提供一种告警事件误报识别方法,包括:
3、采集待测告警事件的告警数据,其中,所述告警数据包括目标安全日志数据和目标图像,所述目标图像用于表征生成时间在设定时长内的安全日志数据的数据量情况,所述目标安全日志数据的生成时间处于所述设定时长内;
4、将所述告警数据输入已训练的告警事件识别模型,得到所述待测告警事件的误报识别结果,其中,所述误报识别结果用于表征所述待测告警事件是否为误报。
5、在本申请实施例中,将待测告警事件的目标安全日志数据和目标图像,输入已训练的告警事件识别模型进行处理,得到表征待测告警事件是否为误报的误报识别结果,其中,目标图像用于表征生成时间在设定时长内的安全日志数据的数据量情况,目标安全日志数据的生成时间处于设定时长内。本申请能够提高告警事件误报识别的准确度和效率,在应对复杂的安全
6、在一种可能的设计中,所述将所述告警数据输入已训练的告警事件识别模型,得到所述待测告警事件的误报率,包括:
7、将所述目标安全日志数据输入所述告警事件识别模型的第一特征提取层,通过所述第一特征提取层提取所述目标安全日志数据的第一特征信息;以及将所述目标图像输入所述告警事件识别模型的第二特征提取层,通过所述第二特征提取层提取所述目标图像的第二特征信息;
8、将所述第一特征信息和所述第二特征信息进行融合,并将融合后的特征信息输入所述告警事件识别模型的输出层,以确定所述待测告警事件的误报识别结果。
9、在本申请实施例中,通过告警事件识别模型的第一特征提取层提取目标安全日志数据的第一特征信息,告警事件识别模型的第二特征提取层提取目标图像的第二特征信息,将第一特征信息和第二特征信息进行融合,并将融合后的特征信息输入告警事件识别模型的输出层,确定待测告警事件的误报识别结果,从而提高确定的待测告警事件的误报识别结果的准确度。
10、在一种可能的设计中,所述目标图像通过以下方法确定:
11、获取设定时长内的多条安全日志数据,其中,所述多条安全日志数据包括所述目标安全日志数据,所述设定时长包括多个子时间段;
12、基于每条安全日志数据的生成时间属于的子时间段,确定每个子时间段的安全日志数据的数据量;
13、基于每个子时间段的安全日志数据的数据量,确定所述目标图像。
14、在本申请实施例中,获取设定时长内的包括目标安全日志数据的多条安全日志数据,并基于每条安全日志数据的生成时间属于的子时间段,确定每个子时间段的安全日志数据的数据量,并基于每个子时间段的安全日志数据的数据量,确定目标图像,从而更准确地表征生成时间在设定时长内的安全日志数据的数据量情况。
15、在一种可能的设计中,所述将所述告警数据输入已训练的告警事件识别模型,得到所述待测告警事件的误报识别结果,包括:
16、将所述告警数据输入已训练的告警事件识别模型,得到表征所述待测告警事件为非误报的所述误报识别结果,以及针对所述待测告警事件的处理建议信息。
17、在本申请实施例中,将告警数据输入已训练的告警事件识别模型,可以直接得到表征待测告警事件为非误报的误报识别结果,以及针对待测告警事件的处理建议信息,从而使用户根据待测告警事件的处理建议信息进行相应处理,提高待测告警事件的处理效率,并提高用户体验感。
18、在一种可能的设计中,所述将所述告警数据输入已训练的告警事件识别模型,得到所述待测告警事件的误报识别结果,包括:
19、将所述告警数据输入已训练的告警事件识别模型,得到所述待测告警事件的误报率;
20、将所述误报率与设定概率阈值进行对比,得到比较结果,基于所述比较结果,得到所述待测告警事件的误报识别结果。
21、在本申请实施例中,将告警数据输入已训练的告警事件识别模型,得到待测告警事件的误报率,以表征待测告警事件为误报的概率,并且,本申请将误报率与设定概率阈值进行对比,得到比较结果,基于比较结果,得到待测告警事件的误报识别结果,从而提高告警事件误报识别的准确度和效率。
22、在一种可能的设计中,所述基于所述比较结果,得到所述待测告警事件的误报识别结果,包括:
23、若所述比较结果表征所述误报率大于或等于所述设定概率阈值,则得到表征所述待测告警事件为误报的所述误报识别结果;
24、若所述比较结果表征所述误报率小于所述设定概率阈值,则得到表征所述待测告警事件为非误报的所述误报识别结果。
25、在本申请实施例中,基于误报率与设定概率阈值,判断待测告警事件是否为误报,从而更准确地识别告警事件是否为误报。
26、在一种可能的设计中,所述得到表征所述待测告警事件为非误报的所述误报识别结果之后,还包括:
27、将所述告警数据输入已训练的问答模型,以得到针对所述待测告警事件的处理建议信息。
28、在本申请实施例中,在确定待测告警事件为非误报后,将告警数据输入已训练的问答模型,确定针对待测告警事件的处理建议信息,从而使用户根据待测告警事件的处理建议信息进行相应处理,提高待测告警事件的处理效率,并提高用户体验感。
29、在一种可能的设计中,所述目标安全日志数据通过以下方法获得:
30、采集多条原始安全日志数据;
31、针对每条原始安全日志数据,对所述原始安全日志数据进行数据格式化处理,得到第一安全日志数据,并对所述第一安全日志数据进行数据清洗,得到第二安全日志数据;
32、对多条第二安全日志数据进行降噪处理,得到多条处理后的第二安全日志数据,并将每条处理后的第二安全日志数据分别作为所述目标安全日志数据。
33、在本申请实施例中,对原始安全日志数据进行数据格式化处理,得到第一安全日志数据,并对第一安全日志数据进行数据清洗,得到第二安全日志数据,对多条第二安全日志数据进行降噪处理,得到多条处理后的第二安全日志数据,并将每条处理后的第二安全日志数据分别作为目标安全日志数据,从而提高目标安全日志数据的准确性。
34、在一种可能的设计中,所述得到第一安全日志数据之后,还包括:
35、基于所述原始安全日志数据的分区身份证标识号id、生成时间和偏移量,本文档来自技高网...
【技术保护点】
1.一种告警事件误报识别方法,其特征在于,包括:
2.如权利要求1所述的方法,其特征在于,所述将所述告警数据输入已训练的告警事件识别模型,得到所述待测告警事件的误报识别结果,包括:
3.如权利要求1或2所述的方法,其特征在于,所述目标图像通过以下方法确定:
4.如权利要求1所述的方法,其特征在于,所述将所述告警数据输入已训练的告警事件识别模型,得到所述待测告警事件的误报识别结果,包括:
5.如权利要求1所述的方法,其特征在于,所述将所述告警数据输入已训练的告警事件识别模型,得到所述待测告警事件的误报识别结果,包括:
6.如权利要求5所述的方法,其特征在于,所述基于所述比较结果,得到所述待测告警事件的误报识别结果,包括:
7.如权利要求1所述的方法,其特征在于,所述得到表征所述待测告警事件为非误报的所述误报识别结果之后,还包括:
8.如权利要求1所述的方法,其特征在于,所述目标安全日志数据通过以下方法获得:
9.如权利要求8所述的方法,其特征在于,所述得到第一安全日志数据之后,还包括:<...
【技术特征摘要】
1.一种告警事件误报识别方法,其特征在于,包括:
2.如权利要求1所述的方法,其特征在于,所述将所述告警数据输入已训练的告警事件识别模型,得到所述待测告警事件的误报识别结果,包括:
3.如权利要求1或2所述的方法,其特征在于,所述目标图像通过以下方法确定:
4.如权利要求1所述的方法,其特征在于,所述将所述告警数据输入已训练的告警事件识别模型,得到所述待测告警事件的误报识别结果,包括:
5.如权利要求1所述的方法,其特征在于,所述将所述告警数据输入已训练的告警事件识别模型,得到所述待测告警事件的误报识别结果,包括:
6.如权利要求5所述的方法,其特征在于,所述基于所述比较结果,得到所述待测告...
【专利技术属性】
技术研发人员:苏卓,张培颖,邢颖慧,胡启航,吴成洋,
申请(专利权)人:天翼安全科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。