本申請涉及網(wǎng)絡(luò)安全，尤其涉及一種告警數(shù)據(jù)處理方法、裝置、設(shè)備及介質(zhì)。

背景技術(shù)：

1、在當(dāng)今的網(wǎng)絡(luò)安全領(lǐng)域，隨著信息技術(shù)和互聯(lián)網(wǎng)服務(wù)的快速發(fā)展，安全威脅的類型和數(shù)量也在持續(xù)增長。企業(yè)和組織面臨著越來越多的網(wǎng)絡(luò)攻擊，如惡意軟件、勒索軟件攻擊、ddos攻擊等，這些威脅可能導(dǎo)致數(shù)據(jù)泄露、業(yè)務(wù)中斷甚至嚴(yán)重的財(cái)務(wù)損失。為了有效防御這些安全威脅，安全團(tuán)隊(duì)依賴于各種安全設(shè)備和系統(tǒng)生成的告警信息來及時(shí)發(fā)現(xiàn)和響應(yīng)潛在的安全事件。

2、相關(guān)技術(shù)中，安全系統(tǒng)往往會(huì)生成大量的告警數(shù)據(jù)，安全團(tuán)隊(duì)需要對全部的告警數(shù)據(jù)進(jìn)行處理，然而安全團(tuán)隊(duì)處理的告警數(shù)據(jù)中有大量誤報(bào)和重復(fù)的告警數(shù)據(jù)，這些大量誤報(bào)和重復(fù)的告警數(shù)據(jù)嚴(yán)重影響對真正的告警數(shù)據(jù)的效率和響應(yīng)速度。

技術(shù)實(shí)現(xiàn)思路

1、本申請?zhí)峁┝艘环N告警數(shù)據(jù)處理方法、裝置、設(shè)備及介質(zhì)，用以解決現(xiàn)有的大量誤報(bào)和重復(fù)的告警數(shù)據(jù)嚴(yán)重影響對真正的告警數(shù)據(jù)的效率和響應(yīng)速度的問題。

2、第一方面，本申請實(shí)施例提供了一種告警數(shù)據(jù)處理方法，所述方法包括：

3、對所述待處理的目標(biāo)告警數(shù)據(jù)中攜帶的告警名稱、告警描述和有效載荷進(jìn)行文本嵌入處理，確定所述目標(biāo)告警數(shù)據(jù)對應(yīng)的第一特征向量；

4、根據(jù)所述目標(biāo)告警數(shù)據(jù)對應(yīng)的目的ip、源ip和租戶id，確定與所述目標(biāo)告警數(shù)據(jù)相似的其他告警數(shù)據(jù)；根據(jù)所述其他告警數(shù)據(jù)的總數(shù)量，進(jìn)行獨(dú)熱編碼，確定所述目標(biāo)告警數(shù)據(jù)對應(yīng)的第二特征向量；

5、將所述第一特征向量和所述第二特征向量輸入到預(yù)測模型中，獲取所述預(yù)測模型輸出的所述目標(biāo)告警數(shù)據(jù)的目標(biāo)風(fēng)險(xiǎn)等級(jí)，若所述目標(biāo)風(fēng)險(xiǎn)等級(jí)超過預(yù)設(shè)閾值，則響應(yīng)所述告警數(shù)據(jù)。

6、第二方面，本申請實(shí)施例還提供了一種告警數(shù)據(jù)處理裝置，所述裝置包括：

7、處理模塊，用于對所述待處理的目標(biāo)告警數(shù)據(jù)中攜帶的告警名稱、告警描述和有效載荷進(jìn)行文本嵌入處理，確定所述目標(biāo)告警數(shù)據(jù)對應(yīng)的第一特征向量；根據(jù)所述目標(biāo)告警數(shù)據(jù)對應(yīng)的目的ip、源ip和租戶id，確定與所述目標(biāo)告警數(shù)據(jù)相似的其他告警數(shù)據(jù)；根據(jù)所述其他告警數(shù)據(jù)的總數(shù)量，進(jìn)行獨(dú)熱編碼，確定所述目標(biāo)告警數(shù)據(jù)對應(yīng)的第二特征向量；

8、預(yù)測模塊，用于將所述第一特征向量和所述第二特征向量輸入到預(yù)測模型中，獲取所述預(yù)測模型輸出的所述目標(biāo)告警數(shù)據(jù)的目標(biāo)風(fēng)險(xiǎn)等級(jí)，若所述目標(biāo)風(fēng)險(xiǎn)等級(jí)超過預(yù)設(shè)閾值，則響應(yīng)所述告警數(shù)據(jù)。

9、第三方面，本申請實(shí)施例還提供了一種電子設(shè)備，所述電子設(shè)備至少包括處理器和存儲(chǔ)器，所述處理器用于執(zhí)行存儲(chǔ)器中存儲(chǔ)的計(jì)算機(jī)程序時(shí)實(shí)現(xiàn)如上述任一所述告警數(shù)據(jù)處理方法的步驟。

10、第四方面，本申請實(shí)施例還提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如上述中任一所述告警數(shù)據(jù)處理方法的步驟。

11、在本申請實(shí)施例中，電子設(shè)備對待處理的目標(biāo)告警數(shù)據(jù)中攜帶的告警名稱、告警描述和有效載荷進(jìn)行文本嵌入處理，確定目標(biāo)告警數(shù)據(jù)對應(yīng)的第一特征向量；根據(jù)目標(biāo)告警數(shù)據(jù)對應(yīng)的目的ip、源ip和租戶id，確定與目標(biāo)告警數(shù)據(jù)相似的其他告警數(shù)據(jù)；根據(jù)其他告警數(shù)據(jù)的總數(shù)量，進(jìn)行獨(dú)熱編碼，確定目標(biāo)告警數(shù)據(jù)對應(yīng)的第二特征向量；將第一特征向量和第二特征向量輸入到預(yù)測模型中，獲取預(yù)測模型輸出的目標(biāo)告警數(shù)據(jù)的目標(biāo)風(fēng)險(xiǎn)等級(jí)，若目標(biāo)風(fēng)險(xiǎn)等級(jí)超過預(yù)設(shè)閾值，則響應(yīng)告警數(shù)據(jù)。在本申請實(shí)施例中，基于目標(biāo)告警數(shù)據(jù)中攜帶的告警名稱、告警描述和有效載荷，確定第一特征向量，基于與目標(biāo)告警數(shù)據(jù)相似的其他告警數(shù)據(jù)，確定第二特征向量，使得可以基于第一特征向量和第二特征向量預(yù)測目標(biāo)告警數(shù)據(jù)的目標(biāo)風(fēng)險(xiǎn)等級(jí)，實(shí)現(xiàn)了對告警數(shù)據(jù)的篩選，避免了對全部的告警數(shù)據(jù)都進(jìn)行響應(yīng)，提高告警數(shù)據(jù)處理的效率和準(zhǔn)確率。

技術(shù)特征：

1.一種告警數(shù)據(jù)處理方法，其特征在于，所述方法包括：

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述對所述待處理的目標(biāo)告警數(shù)據(jù)中攜帶的告警名稱、告警描述和有效載荷進(jìn)行文本嵌入處理，確定所述目標(biāo)告警數(shù)據(jù)對應(yīng)的第一特征向量包括：

3.根據(jù)權(quán)利要求2所述方法，其特征在于，所述告警名稱和所述告警描述為英文格式，所述有效載荷為中文格式；

4.根據(jù)權(quán)利要求3所述的方法，其特征在于，所述采用基于中文格式的數(shù)據(jù)集訓(xùn)練得到的chinesebert模型對所述有效載荷進(jìn)行文本嵌入處理，得到所述有效載荷對應(yīng)的第三子特征向量包括：

5.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述根據(jù)所述目標(biāo)告警數(shù)據(jù)對應(yīng)的目的ip、源ip和租戶id，確定與所述目標(biāo)告警數(shù)據(jù)相似的其他告警數(shù)據(jù)包括：

6.根據(jù)權(quán)利要求5所述的方法，其特征在于，所述根據(jù)所述其他告警數(shù)據(jù)的總數(shù)量，進(jìn)行獨(dú)熱編碼包括：

7.一種告警數(shù)據(jù)處理裝置，其特征在于，所述裝置包括：

8.根據(jù)權(quán)利要求7所述的裝置，其特征在于，所述處理模塊，具體用于根據(jù)預(yù)設(shè)的文本嵌入算法，分別對所述告警名稱、告警描述和有效載荷進(jìn)行文本嵌入處理，確定所述告警名稱對應(yīng)的第一子特征向量、所述告警描述對應(yīng)的第二子特征向量和所述有效載荷對應(yīng)的第三子特征向量；將所述第一子特征向量、所述第二子特征向量和所述第三子特征向量分別轉(zhuǎn)換為預(yù)設(shè)維度的子特征向量；將轉(zhuǎn)換后的第一子特征向量、轉(zhuǎn)換后的第二子特征向量和轉(zhuǎn)換后的第三子特征向量進(jìn)行拼接，得到所述第一特征向量。

9.一種電子設(shè)備，其特征在于，所述電子設(shè)備至少包括處理器和存儲(chǔ)器，所述處理器用于執(zhí)行存儲(chǔ)器中存儲(chǔ)的計(jì)算機(jī)程序時(shí)實(shí)現(xiàn)如權(quán)利要求1-6任一所述告警數(shù)據(jù)處理方法的步驟。

10.一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其特征在于，其存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如權(quán)利要求1-6中任一所述告警數(shù)據(jù)處理方法的步驟。

技術(shù)總結(jié)
本申請涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種告警數(shù)據(jù)處理方法、裝置、設(shè)備及介質(zhì)。在本申請實(shí)施例中，基于目標(biāo)告警數(shù)據(jù)中攜帶的告警名稱、告警描述和有效載荷，確定第一特征向量，基于與目標(biāo)告警數(shù)據(jù)相似的其他告警數(shù)據(jù)，確定第二特征向量，使得可以基于第一特征向量和第二特征向量預(yù)測目標(biāo)告警數(shù)據(jù)的目標(biāo)風(fēng)險(xiǎn)等級(jí)，實(shí)現(xiàn)了對告警數(shù)據(jù)的篩選，避免了對全部的告警數(shù)據(jù)都進(jìn)行響應(yīng)，提高告警數(shù)據(jù)處理的效率和準(zhǔn)確率。

技術(shù)研發(fā)人員：蘇卓,陸曉康,張杰,丁慶龍,張倩
受保護(hù)的技術(shù)使用者：天翼安全科技有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/12/12