本发明提供了网络安全检测的新方法、系统、设备及存储介质。本发明可以通过利用告警触发规则对网络访问行为进行网络安全检测，获得告警触发规则输出的对网络访问行为的告警描述信息，将告警描述信息输入基于分类器的告警误报识别模型，根据告警误报识别结果对网络访问行为执行相应决策，告警误报识别结果与决策之间的对应关系是预先设置的。本发明在获得告警触发规则所触发网络安全告警的情况下，采用基于分类器的告警误报识别模型对网络安全告警进行再次误报识别，并根据误报识别结果执行决策。机器学习技术能够补偿告警触发规则的局限性，提

  (19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 CN 114070642 A (43)申请公布日 2022.02.18 (21)申请号 6.8 (22)申请日 2021.11.26 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融大街31号 (72)发明人 陈茂飞刘东鑫田云帆史国水 汪来富 (74)专利代理机构 北京律智知识产权代理有限 公司 11438 代理人 孙宝海袁礼君 (51)Int.Cl. H04L 9/40 (2022.01) H04L 41/0631 (2022.01) G06K 9/62 (2022.01) 权利要求书2页 说明书10页 附图6页 (54)发明名称 网络安全检测的新方法、系统、设备及存储介质 (57)摘要 本发明提供了网络安全检测的新方法、系统、设 备及存储介质。本发明可以通过利用告警触发规 则对网络访问行为进行网络安全检测，获得告警 触发规则输出的对网络访问行为的告警描述信 息，将告警描述信息输入基于分类器的告警误报 识别模型，根据告警误报识别结果对网络访问行 为执行相应决策，告警误报识别结果与决策之间 的对应关系是预先设置的。本发明在获得告警触 发规则所触发网络安全告警的情况下，采用基于 分类器的告警误报识别模型对网络安全告警进 行再次误报识别，并根据误报识别结果执行决 策。机器学习技术能够补偿告警触发规则的局限 A 性，提升网络安全告警和决策的准确度。 2 4 6 0 7 0 4 1 1 N C CN 114070642 A 权利要求书 1/2页 1.一种网络安全检测的新方法，其特征是，包括： 在获取到用户的网络访问行为的情况下，利用告警触发规则对所述网络访问行为进行 网络安全检测； 在所述告警触发规则对所述网络访问行为触发告警的情况下，获得所述告警触发规则 输出的对所述网络访问行为的告警描述信息； 将所述告警描述信息输入基于分类器的告警误报识别模型，输出告警误报识别结果， 所述告警误报识别模型是利用告警日志数据训练得到的； 根据所述告警误报识别结果对所述网络访问行为执行相应决策，所述告警误报识别结 果与所述决策之间的对应关系是预先设置的。 2.依据权利要求1所述的网络安全检测的新方法，其特征是，将所述告警描述信息输入基 于分类器的告警误报识别模型，包括： 在从所述告警描述信息中获取到触发告警的网络访问行为特征信息的情况下，将所述 网络访问行为特征信息输入基于分类器的告警误报识别模型。 3.依据权利要求1所述的网络安全检测的新方法，其特征是，在将所述告警描述信息输入 基于分类器的告警误报识别模型之前，所述网络安全检测的新方法还包括： 在设定时间周期内获得多条告警描述信息的情况下，根据所述告警描述信息提供的告 警攻击类型对各告警描述信息进行聚合，得到至少一种告警攻击类型的告警描述信息； 将所述告警描述信息输入基于分类器的告警误报识别模型，包括： 将所述至少一种告警攻击类型的告警描述信息输入基于分类器的告警误报识别模型， 输出目标攻击类型； 在所述告警描述信息提供的告警攻击类型与所述目标攻击类型一致的情况下，则输出 的告警误报识别结果为非误报； 在所述告警描述信息提供的告警攻击类型与所述目标攻击类型不一致的情况下，则输 出的告警误报识别结果为告警误报。 4.依据权利要求1所述的网络安全检测的新方法，其特征是，根据所述告警误报识别结果 对所述网络访问行为执行相应决策，包括： 在所述告警误报识别结果为非误报告警的情况下，拦截所述网络访问行为。 5.依据权利要求1所述的网络安全检测的新方法，其特征是，根据所述告警误报识别结果 对所述网络访问行为执行相应决策，包括： 在所述告警误报识别结果未显示网络安全告警的情况下，对所述网络访问行为放行。 6.依据权利要求1所述的网络安全检测的新方法，其特征是，根据所述告警误报识别结果 对所述网络访问行为执行相应决策，包括： 在所述告警描述信息提供的告警攻击类型与所述告警误报识别模型识别到的目标攻 击类型不一致的情况下，拦截所述网络访问行为。 7.依据权利要求1所述的网络安全检测的新方法，其特征是，所述告警误报识别模型是使 用如下方法训练得到的： 对所述告警日志数据抽取特征信息，所抽取的特征信息包括所述告警日志数据在各个 告警攻击类型的联合概率和流量特征信息； 利用所抽取的特征信息输入基于分类器的告警误报识别模型，对所述告警误报识别模 2 2 CN 114070642 A 权利要求书 2/2页 型进行训练。 8.一种网络安全检测系统，其特征是，包括： 网络安全检测模块，在获取到用户的网络访问行为的情况下，利用告警触发规则对所 述网络访问行为进行网络安全检测； 告警模块，在所述告警触发规则对所述网络访问行为触发告警的情况下，获得所述告 警触发规则输出的对所述网络访问行为的告警描述信息； 告警误报识别模块，将所述告警描述信息输入基于分类器的告警误报识别模型，输出 告警误报识别结果，所述告警误报识别模型是利用告警日志数据训练得到的； 决策执行模块，根据所述告警误报识别结果对所述网络访问行为执行相应决策，所述 告警误报识别结果与所述决策之间的对应关系是预先设置的。 9.一种网络安全检测设备，其特征是，包括： 处理器； 存储器，其中存储有所述处理器的可执行指令； 其中，所述处理器配置为经由执行所述可执行指令来执行权利要求1‑7任一项所述网 络安全检测的新方法的步骤。 10.一种计算机可读存储介质，用于存储程序，其特征是，所述程序被处理器执行时 实现权利要求1至7任意一项所述网络安全检测的新方法的步骤。 3 3 CN 114070642 A 说明书 1/10页 网络安全检测的新方法、系统、设备及存储介质 技术领域 [0001] 本发明涉及网络安全领域，具体地说，涉及网络安全检测的新方法、系统、设备及存储 介质。 背景技术 [0002] 随网络技术的加快速度进行发展，网络安全威胁事件大幅度的增加。企业侧部署的各种威胁 检测设备，每天产生大规模网络安全告警。 [0003] 需要说明的是，上述背景技术部分公开的信息仅用于加强对本发明的背景的理 解，因此能包括不构成对本领域普通技术人员已知的现存技术的信息。 发明内容 [0004] 针对现存技术中的问题，本发明的目的是提供网络安全检测的新方法、系统、设备及 存储介质，克服了现存技术的困难，能带来更精确的网络安全告警结果。 [0005] 本发明的实施例提供一种网络安全检测的新方法，该方法有以下步骤： [0006] 在获取到用户的网络访问行为的情况下，利用告警触发规则对网络访问行为进行 网络安全检测； [0007] 在告警触发规则对网络访问行为触发告警的情况下，获得告警触发规则输出的对 网络访问行为的告警描述信息； [0008] 将告警描述信息输入基于分类器的告警误报识别模型，输出告警误报识别结果， 告警误报识别模型是利用告警日志数据训练得到的； [0009] 根据告警误报识别结果对网络访问行为执行相应决策，告警误报识别结果与决策 之间的对应关系是预先设置的。 [0010] 可选地，将告警描述信息输入基于分类器的告警误报识别模型，包括： [0011] 在从告警描述信息中获取到触发告警的网络访问行为特征信息的情况下，将网络 访问行为特征信息输入基于分类器的告警误报识别模型。 [0012] 可选地，在将告警描述信息输入基于分类器的告警误报识别模型之前，网络安全 检测的新方法还包括： [0013] 在设定时间周期内获得多条告警描述信息的情况下，根据告警描述信息提供的告 警攻击类型对各告警描述信息进行聚合，得到至少一种告警攻击类型的告警描述信息； [0014] 将告警描述信息输入基于分类器的告警误报识别模型，包括： [0015] 将至少一种告警攻击类型的告警描述信息输入基于分类器的告警误报识别模型， 输出目标攻击类型； [0016] 在告警描述信息提供的告警攻击类型与目标攻击类型一致的情况下，则输出的告 警误报识别结果为非误报； [0017] 在告警描述信息提供的告警攻击类型与目标攻击类型不一致的情况下，则输出的 告警误报识别结果为告警误报。 4 4 CN 114070642 A 说明书 2/10页 [0018] 可选地，根据告警误报识别结果对网络访问行为执行相应决策，包括： [0019] 在告警误报识别结果为非误报告警的情况下，拦截网络访问行为。 [0020] 可选地，根据告警误报识别结果对网络访问行为执行相应决策，包括： [0021] 在告警误报识别结果未显示网络安全告警的情况下，对网络访问行为放行。 [0022] 可选地，根据告警误报识别结果对网络访问行为执行相应决策，包括： [0023] 在告警描述信息提供的告警攻击类型与告警误报识别模型识别到的目标攻击类 型不一致的情况下，拦截网络访问行为。 [0024] 可选地，告警误报识别模型是使用如下方法训练得到的： [0025] 对告警日志数据抽取特征信息，所抽取的特征信息包括告警日志数据在各个告警 攻击类型的联合概率和流量特征信息； [0026] 利用所抽取的特征信息输入基于分类器的告警误报识别模型，对告警误报识别模 型进行训练。 [0027] 本发明的实施例还提供一种网络安全检测系统，用于实现上述的网络安全检测方 法，网络安全检测系统包括： [0028] 网络安全检测模块，在获取到用户的网络访问行为的情况下，利用告警触发规则 对网络访问行为进行网络安全检测； [0029] 告警模块，在告警触发规则对网络访问行为触发告警的情况下，获得告警触发规 则输出的对网络访问行为的告警描述信息； [0030] 告警误报识别模块，将告警描述信息输入基于分类器的告警误报识别模型，输出 告警误报识别结果，告警误报识别模型是利用告警日志数据训练得到的； [0031] 决策执行模块，根据告警误报识别结果对网络访问行为执行相应决策，告警误报 识别结果与决策之间的对应关系是预先设置的。 [0032] 本发明的实施例还提供一种网络安全检测设备，包括： [0033] 处理器； [0034] 存储器，其中存储有处理器的可执行指令； [0035] 其中，处理器配置为经由执行可执行指令来执行上述网络安全检测的新方法的步骤。 [0036] 本发明的实施例还提供一种计算机可读存储介质，用于存储程序，程序被执行时 实现上述网络安全检测的新方法的步骤。 [0037] 本发明的目的在于提供网络安全检测的新方法、系统、设备及存储介质，能够通过在获 取到用户的网络访问行为的情况下，利用告警触发规则对网络访问行为进行网络安全检 测，在告警触发规则对网络访问行为触发告警的情况下，获得告警触发规则输出的对网络 访问行为的告警描述信息，将告警描述信息输入基于分类器的告警误报识别模型，输出告 警误报识别结果，告警误报识别模型是利用告警日志数据训练得到的，根据告警误报识别 结果对网络访问行为执行相应决策，告警误报识别结果与决策之间的对应关系是预先设置 的。 [0038] 本发明实施例在获得告警触发规则所触发网络安全告警的情况下，采用基于分类 器的告警误报识别模型对网络安全告警进行再次误报识别，并根据误报识别结果执行决 策。机器学习技术能够补偿告警触发规则的局限性，提升网络安全告警和决策的准确度。 5 5 CN 114070642 A 说明书 3/10页 附图说明 [0039] 通过阅读参照以下附图对非限制性实施例所作的详细描述，本发明的其它特征、 目的和优点将会变得更明显。 [0040] 图1是本发明实施例提供的网络安全检测方法的流程图之一； [0041] 图2是本发明实施例提供的网络安全检测方法的流程图之二； [0042] 图3是本发明实施例提供的网络安全检测方法的流程图之三； [0043] 图4是本发明实施例提供的网络安全检测方法的流程图之四； [0044] 图5是本发明实施例提供的网络安全检测方法的流程图之五； [0045] 图6是本发明实施例提供的网络安全检测系统的模块示意图之一； [0046] 图7是本发明实施例提供的网络安全检测系统的模块示意图之二； [0047] 图8是本发明实施例的网络安全检测系统运行的示意图。 具体实施方式 [0048] 现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形 式实施，且不应被理解为限于在此阐述的实施方式。相反，提供这些实施方式使本发明全面 和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。 [0049] 附图仅为本发明的示意性图解，并非一定是按比例绘制。图中相同的附图标记表 示相同或类似的部分，因而将省略对它们的重复描述。附图中所示的一些方框图是功能实 体，不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实 体，或在一个或多个硬件转发模块或集成电路中实现这些功能实体，或在不同网络和/或处 理器装置和/或微控制器装置中实现这些功能实体。 [0050] 此外，附图中所示的流程仅是示例性说明，不是必须包括所有的步骤。例如，有的 步骤可以分解，有的步骤可以合并或部分合并，且实际执行的顺序有可能根据实际情况改 变。具体描述时使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要 性，而只是用来区分不同的组成部分。需要说明的是，在不冲突的情况下，本发明的实施例 及不同实施例中的特征可以相互组合。 [0051] 本发明人注意到，现有技术在安全设备部署告警触发规则，采用人为设定的告警 触发规则进行网络安全检测，并对网络攻击行为触发告警。在实践中，通过对触发告警的大 量网络攻击行为进行分析，确定流量特征信息，并根据流量特征信息构建告警触发规则，则 一旦告警触发规则识别到相同的流量特征，就会触发告警。 [0052] 但是，发明人注意到，采用告警触发规则进行网络安全检测，出现了网络安全告警 误报的问题。产生这个问题的原因是人工挖掘攻击特征信息的局限性，因此，如何提升网络 安全告警的精确度，是本发明实施例所要考虑的课题。 [0053] 本发明实施例提出，对告警触发规则所触发网络安全告警，利用告警误报识别模 型对告警描述信息进行再次检测，输出告警误报识别结果，并基于该告警误报识别结果执 行相应决策。其中告警误报识别模型是基于机器学习分类器实现的，并利用告警日志数据 进行训练得到的。 [0054] 机器学习(Machine Learning，简称：ML)是一门人工智能的科学，属于计算科学领 域，专门分析和解释数据的模式及结构，以实现无需人工交互即可完成学习、推理和决策等 6 6 CN 114070642 A 说明书 4/10页 行为的目的。 [0055] 本发明实施例将机器学习技术应用于网络安全告警的误报识别领域，基于分类器 的机器学习模型通过大量告警日志数据学习各类网络攻击行为的特征信息，能够更全面地 学习各特征对于网络安全告警的贡献度，以及特征之间的关联性。机器学习技术能够突破 人本身的认知局限，这样，通过对网络安全告警的进一步检测，能够更精确地进行网络安全 检测。 [0056] 因此，在网络安全检测技术领域，采用基于机器学习分类器进行网络安全告警的 误报识别，能够带来意料不到的技术效果。 [0057] 图1为本发明实施例提供的网络安全检测方法的流程图，本方法的执行主体可以 是网络安全设备，具体可以是物理设备或虚拟机。如图1所示，本方法包括如下步骤： [0058] 步骤110：在获取到用户的网络访问行为的情况下，利用告警触发规则对网络访问 行为进行网络安全检测； [0059] 步骤120：在告警触发规则对网络访问行为触发告警的情况下，获得告警触发规则 输出的对网络访问行为的告警描述信息； [0060] 步骤130：将告警描述信息输入基于分类器的告警误报识别模型，输出告警误报识 别结果，告警误报识别模型是利用告警日志数据训练得到的； [0061] 步骤140：根据告警误报识别结果对网络访问行为执行相应决策，告警误报识别结 果与决策之间的对应关系是预先设置的。 [0062] 在本发明实施例中，告警触发规则是根据人为设定的规则对网络访问行为进行网 络安全检测。 [0063] 告警描述信息用于对网络访问行为触发告警的判定过程进行描述，可以包括网络 访问行为信息、触发告警的网络访问行为的特征信息、及触发告警的条件信息等，在此不做 具体限定。 [0064] 在本发明实施例中，在获得告警触发规则所触发网络安全告警的情况下，采用基 于分类器的告警误报识别模型对网络安全告警进行再次误报识别，并根据误报识别结果执 行决策。机器学习技术能够补偿告警触发规则的局限性，提升网络安全告警和决策的准确 度。 [0065] 在本发明实施例中，告警误报识别模型事先使用告警日志数据训练得到，告警日 志数据是在一定历史时期内检测到的网络安全告警集。这样，参考图2，告警误报识别模型 可以是使用如下方法训练得到的： [0066] 步骤210：对告警日志数据抽取特征信息，所抽取的特征信息包括告警日志数据在 各个告警攻击类型的联合概率分布和流量特征信息； [0067] 步骤220：利用所抽取的特征信息输入基于分类器的告警误报识别模型，对告警误 报识别模型进行训练。 [0068] 在本发明实施例中，所谓联合概率是将告警日志数据输入到朴素贝叶斯模型，并 由朴素贝叶斯模型输出的各个告警日志数据在各个告警攻击类型上的联合概率。 [0069] 而流量特征信息包括网络层和应用层流量特征，应用层流量特征例如HTTP协议， 包括请求统计信息、响应统计信息、URL统计特征等，在此不做限定。 [0070] 在本发明实施例中，参考图3，告警误报识别模型的训练过程包括如下步骤： 7 7 CN 114070642 A 说明书 5/10页 [0071] 构建数据训练集。可以从数据库及公开渠道获取正常流量和恶意攻击流量样本构 建数据集，这包括网络层信息和应用层信息。其中网络层信息包括IP信息、端口信息等，在 此不再详述。其中应用层信息包括HTTP请求、响应、统一资源定位符URL(英語：Uniform  Resource Locator)等。 [0072] 对所构建的数据集抽取特征，这主要包括： [0073] N‑gram抽取，将告警日志数据输入朴素贝叶斯，计算数据集在各个告警攻击类型 的联合概率分布； [0074] 流量特征抽取，这些流量特征包含网络层和应用层流量特征，应用层流量特征例 如HTTP协议，包括请求统计信息、响应统计信息、URL统计特征等等，在此不做限定。 [0075] 将上述联合概率分布和流量特征输入到分类器，训练得到告警误报识别模型。 [0076] 其中，分类器可以是支持向量机，因其英文名为support vector machine，故一般 简称SVM，通俗来讲，它是一种二类分类模型，其基本模型定义为特征空间上的间隔最大的 线性分类器，其学习策略便是间隔最大化，最终可转化为一个凸二次规划问题的求解。 [0077] 另外，分类器还可以选择逻辑回归、随机森林、朴素贝叶斯、神经网络等，在此不做 具体限定。 [0078] 在本发明实施例中，告警攻击类型包括SQL注入攻击或跨站脚本攻击(Cross‑Site  Scripting)等，在此不做具体限定。 [0079] SQL注入攻击是发生于应用程序与数据库层的安全漏洞。简而言之，是在输入的字 符串之中注入SQL指令，在设计不良的程序当中忽略了字符检查，那么这些注入进去的恶意 指令就会被数据库服务器误认为是正常的SQL指令而运行，因此遭到破坏或是入侵。 [0080] 跨站脚本攻击简称XSS，是一种代码注入攻击。攻击者通过在目标网站上注入恶意 脚本，使之在用户的浏览器上运行。利用这些恶意脚本，攻击者可获取用户的敏感信息如 Cookie、Session  ID等，进而危害数据安全。 [0081] 其中，数据集中的恶意流量样本可以认为是网络安全告警产生的告警日志数据。 [0082] 在本发明实施例中，训练好的告警误报识别模型能够用于网络安全告警的误报识 别，具体可参考上文图1所示各步骤。 [0083] 在用户授权的情况下，网络安全设备监测用户的网络访问行为，并利用部署的告 警触发规则进行网络安全检测。 [0084] 在本发明实施例中，告警描述信息是告警误报识别模型的输入。告警描述信息包 括IP端口四元组，如源IP地址、目的IP地址、源端口Port及目的端口Port，触发告警的特征 等。 [0085] 在本发明实施例中，还可以是，在输入之前，从告警描述信息中提取触发告警的网 络访问行为的特征信息，并在从告警描述信息中获取到触发告警的网络访问行为特征信息 的情况下，将网络访问行为特征信息输入基于分类器的告警误报识别模型。 [0086] 这使得告警误报识别模型更聚集到告警触发规则触发告警的具体特征，能够更精 准地识别误报。 [0087] 在本发明可选实施例中，参考图4，网络安全检测方法具体包括如下步骤： [0088] 步骤410：在获取到用户的网络访问行为的情况下，利用告警触发规则对网络访问 行为进行网络安全检测； 8 8 CN 114070642 A 说明书 6/10页 [0089] 步骤420：在告警触发规则对网络访问行为触发告警的情况下，获得告警触发规则 输出的对网络访问行为的告警描述信息； [0090] 步骤430：在设定时间周期内获得多条告警描述信息的情况下，根据告警描述信息 提供的告警攻击类型对各告警描述信息进行聚合，得到至少一种告警攻击类型的告警描述 信息； [0091] 步骤440：将至少一种告警攻击类型的告警描述信息输入基于分类器的告警误报 识别模型，输出目标攻击类型； [0092] 步骤450：在告警描述信息提供的告警攻击类型与目标攻击类型一致的情况下，则 输出的告警误报识别结果显示非误报； [0093] 步骤460：在告警描述信息提供的告警攻击类型与目标攻击类型不一致的情况下， 则输出的告警误报识别结果显示告警误报； [0094] 步骤470：根据告警误报识别结果对网络访问行为执行相应决策，告警误报识别结 果与决策之间的对应关系是预先设置的。 [0095] 在本发明实施例中，告警误报识别模型是基于分类器实现的，因此实际上可以根 据告警描述信息进行告警分类。 [0096] 使用本发明实施例，在很短时间周期内会产生大量网络安全告警，因此可以收集 起来做告警误报识别，提升数据处理效率。 [0097] 在本发明实施例中，也可以不事先对告警描述信息进行聚合。 [0098] 在本发明实施例中，网络安全设备执行的决策跟告警误报识别结果有关，两者之 间的对应关系是预先设置的。 [0099] 在一种场景中，在告警误报识别结果显示非误报告警的情况下，拦截该网络访问 行为，从而及时避免攻击损害。 [0100] 在另一种场景中，在告警误报识别结果未显示网络安全告警的情况下，对网络访 问行为放行。在这种情况下，确认当前的网络访问行为并非攻击行为，因此可对网络访问行 为放行。 [0101] 在另一种场景中，在告警描述信息提供的告警攻击类型与告警误报识别模型识别 到的目标攻击类型不一致的情况下，拦截网络访问行为。 [0102] 在这种情况下，确认当前的网络访问行为为攻击行为，虽然前后两次检测到的攻 击行为不同，但仍然对网络访问行为进行拦截。 [0103] 参考图5，本发明可选实施例提供的网络安全检测方法具体包括如下步骤： [0104] 获取网络安全告警数据，每一条网络安全告警数据可以包括告警触发规则的标识 ID、攻击判定结果、IP端口四元组、告警描述信息、触发告警的特征如URL； [0105] 基于告警攻击类型聚合上述网络安全告警数据，得到基于告警攻击类型分类的多 组网络安全告警数据，告警攻击类型如XSS、SQL注入等； [0106] 从各组网络安全告警数据提取告警特征信息； [0107] 将告警特征信息输入基于分类器的告警误报识别模型，输出目标攻击类型； [0108] 将告警攻击类型与目标攻击类型进行比较； [0109] 若不一致，则对网络访问行为进行过滤； [0110] 若一致，则告警。 9 9 CN 114070642 A 说明书 7/10页 [0111] 图6是本发明的网络安全检测系统的一种实施例的模块示意图。本发明的网络安 全检测系统，如图6所示，包括但不限于： [0112] 网络安全检测模块610，在获取到用户的网络访问行为的情况下，利用告警触发规 则对网络访问行为进行网络安全检测； [0113] 告警模块620，在告警触发规则对网络访问行为触发告警的情况下，获得告警触发 规则输出的对网络访问行为的告警描述信息； [0114] 告警误报识别模块630，将告警描述信息输入基于分类器的告警误报识别模型，输 出告警误报识别结果，告警误报识别模型是利用告警日志数据训练得到的； [0115] 决策执行模块640，根据告警误报识别结果对网络访问行为执行相应决策，告警误 报识别结果与决策之间的对应关系是预先设置的。 [0116] 在本发明实施例中，在获得告警触发规则所触发网络安全告警的情况下，采用基 于分类器的告警误报识别模型对网络安全告警进行再次误报识别，并根据误报识别结果执 行决策。机器学习技术能够补偿告警触发规则的局限性，提升网络安全告警和决策的准确 度。 [0117] 可选地，告警误报识别模块630具体用于： [0118] 在从告警描述信息中获取到触发告警的网络访问行为特征信息的情况下，将网络 访问行为特征信息输入基于分类器的告警误报识别模型。 [0119] 可选地，决策执行模块640具体用于： [0120] 在告警误报识别结果显示非误报告警的情况下，拦截网络访问行为。 [0121] 可选地，决策执行模块640具体用于： [0122] 在告警误报识别结果未显示网络安全告警的情况下，对网络访问行为放行。 [0123] 可选地，决策执行模块640具体用于： [0124] 在告警描述信息提供的告警攻击类型与告警误报识别模型识别到的目标攻击类 型不一致的情况下，拦截网络访问行为。 [0125] 可选地，与图6相比，图7所示网络安全检测系统还包括： [0126] 聚合模块710，在将告警描述信息输入基于分类器的告警误报识别模型之前，在设 定时间周期内获得多条告警描述信息的情况下，根据告警描述信息提供的告警攻击类型对 各告警描述信息进行聚合，得到至少一种告警攻击类型的告警描述信息； [0127] 告警误报识别模块720具体用于： [0128] 将至少一种告警攻击类型的告警描述信息输入基于分类器的告警误报识别模型， 输出目标攻击类型； [0129] 在告警描述信息提供的告警攻击类型与目标攻击类型一致的情况下，则输出的告 警误报识别结果显示非误报； [0130] 在告警描述信息提供的告警攻击类型与目标攻击类型不一致的情况下，则输出的 告警误报识别结果显示告警误报。 [0131] 可选地，告警误报识别模型是使用如下方法训练得到的： [0132] 对告警日志数据抽取特征信息，所抽取的特征信息包括告警日志数据在各个告警 攻击类型的联合概率和流量特征信息； [0133] 利用所抽取的特征信息输入基于分类器的告警误报识别模型，对告警误报识别模 10 10 CN 114070642 A 说明书 8/10页 型进行训练。 [0134] 本发明实施例还提供一种网络安全检测设备，包括处理器。存储器，其中存储有处 理器的可执行指令。其中，处理器配置为经由执行可执行指令来执行的网络安全检测方法 的步骤。 [0135] 如上所示，本发明实施例在获得告警触发规则所触发网络安全告警的情况下，采 用基于分类器的告警误报识别模型对网络安全告警进行再次误报识别，并根据误报识别结 果执行决策。机器学习技术能够补偿告警触发规则的局限性，提升网络安全告警和决策的 准确度。 [0136] 所属技术领域的技术人员能够理解，本发明的各个方面可以实现为系统、方法或 程序产品。因此，本发明的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完 全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统 称为“电路”、“模块”或“平台”。 [0137] 图8是本发明的对网络安全告警的误报识别设备的结构示意图。下面参照图8来描 述根据本发明的这种实施方式的电子设备800。图8显示的电子设备800仅仅是一个示例，不 应对本发明实施例的功能和使用范围带来任何限制。 [0138] 如图8所示，电子设备800以通用计算设备的形式表现。电子设备800的组件可以包 括但不限于：至少一个处理单元810、至少一个存储单元820、连接不同平台组件(包括存储 单元820和处理单元810)的总线] 其中，存储单元存储有程序代码，程序代码可以被处理单元810执行，使得处理单 元810执行本说明书上述电子处方流转处理方法部分中描述的根据本发明各种示例性实施 方式的步骤。例如，处理单元810可以执行如图1‑图5中所示的步骤。 [0140] 存储单元820可以包括易失性存储单元形式的可读介质，例如随机存取存储单元 (RAM)821和/或高速缓存存储单元822，还可以进一步包括只读存储单元(ROM)823。 [0141] 存储单元820还可以包括具有一组(至少一个)程序模块825的程序/实用工具824， 这样的程序模块825包括但不限于：处理系统、一个或者多个应用程序、其它程序模块以及 程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。 [0142] 总线可以为表示几类总线结构中的一种或多种，包括存储单元总线或者存储 单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构 的局域总线也可以与一个或多个外部设备900(例如键盘、指向设备、蓝牙设备 等)通信，还可与一个或者多个使得用户能与该电子设备800交互的设备通信，和/或与使得 该电子设备800能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调 器等等)通信。这种通信可以通过输入/输出(I/O)接口850进行。并且，电子设备800还可以 通过网络适配器860与一个或者多个网络(例如局域网(LAN)，广域网(WAN)和/或公共网络， 例如因特网)通信。网络适配器860可以通过总线的其它模块通信。应当 明白，尽管图中未示出，可以结合电子设备800使用其它硬件和/或软件模块，包括但不限 于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数 据备份存储平台等。 [0144] 本发明实施例还提供一种计算机可读存储介质，用于存储程序，程序被执行时实 11 11 CN 114070642 A 说明书 9/10页 现的网络安全检测方法的步骤。在一些可能的实施方式中，本发明的各个方面还可以实现 为一种程序产品的形式，其包括程序代码，当程序产品在终端设备上运行时，程序代码用于 使终端设备执行本说明书上述网络安全检测方法部分中描述的根据本发明各种示例性实 施方式的步骤。 [0145] 如上所示，本发明实施例的网络安全检测系统在获得告警触发规则所触发网络安 全告警的情况下，采用基于分类器的告警误报识别模型对网络安全告警进行再次误报识 别，并根据误报识别结果执行决策。机器学习技术能够补偿告警触发规则的局限性，提升网 络安全告警和决策的准确度。 [0146] 根据本发明的实施方式的用于实现上述方法的程序产品，其可以采用便携式紧凑 盘只读存储器(CD‑ROM)并包括程序代码，并可以在终端设备，例如个人电脑上运行。然而， 本发明的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有 形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。 [0147] 程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介 质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导 体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列 表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储 器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD‑ ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。 [0148] 计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号，其 中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、 光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介 质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其 结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输，包括但不 限于无线、有线、光缆、RF等等，或者上述的任意合适的组合。 [0149] 可以以一种或多种程序设计语言的任意组合来编写用于执行本发明处理的程序 代码，程序设计语言包括面向对象的程序设计语言—诸如Java、C++等，还包括常规的过程 式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算 设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备 上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计 算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(LAN)或广域网 (WAN)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商 来通过因特网连接)。 [0150] 综上，本发明的目的是提供网络安全检测的新方法、系统、设备及存储介质，能够在 获得告警触发规则所触发网络安全告警的情况下，采用基于分类器的告警误报识别模型对 网络安全告警进行再次误报识别，并根据误报识别结果执行决策。机器学习技术能够补偿 告警触发规则的局限性，提升网络安全告警和决策的准确度。 [0151] 以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明，不能认定 本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说，在 不脱离本发明构思的前提下，还能做出若干简单推演或替换，都应当视为属于本发明的 12 12 CN 114070642 A 说明书 10/10页 保护范围。 13 13 CN 114070642 A 说明书附图 1/6页 图1 图2 14 14 CN 114070642 A 说明书附图 2/6页 图3 15 15 CN 114070642 A 说明书附图 3/6页 图4 16 16 CN 114070642 A 说明书附图 4/6页 图5 17 17 CN 114070642 A 说明书附图 5/6页 图6 图7 18 18 CN 114070642 A 说明书附图 6/6页 图8 19 19

  2、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问加。

  3、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。

  4、VIP文档为合作方或网友上传，每下载1次， 网站将按照每个用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

  原创力文档创建于2008年，本站为文档C2C交易模式，即用户上传的文档直接分享给其他用户（可下载、阅读），本站只是中间服务平台，本站所有文档下载所得的收益归上传人所有。原创力文档是网络服务平台方，若您的权利被侵害，请发链接和相关诉求至 电线) ，上传者