[发明专利]事件审计方法、装置、终端设备以及存储介质

说明书

本发明公开了一种事件审计方法、装置、终端设备以及存储介质，其方法包括：获取预设的样本数据，所述样本数据包括各类事件日志构成的训练集和测试集；通过预先基于所述样本数据中的训练集和测试集创建的TF‑IDF模型并结合多种机器学习算法构建融合分类模型；根据所述融合分类模型对所述测试集中的事件日志进行风险等级评估。本发明方案通过TF‑IDF模型并结合多种机器学习算法，对事件日志进行风险级别评估，智能识别出海量安全事件日志中的高风险事件，大大提升了事件日志的识别准确率，减少了高风险事件的误报数量，减轻了审计人员的工作负担，提高了审计效率，同时也提升了审计的准确率。

技术领域

本发明涉及信息处理技术领域，尤其涉及一种事件审计方法、装置、终端设备以及存储介质。

背景技术

信息安全审计方法通常是基于特定的规则识别敏感事件的日志，并配合朴素贝叶斯分类模型，对告警事件进行筛选，过滤掉低可疑的告警事件后通过安全预警平台展示给审计人员进行人工审计。

现有技术方案通过朴素贝叶斯分类模型对告警事件进行分类筛选，由于模型单一，朴素贝叶斯模型的缺点也会被放大。理论上，朴素贝叶斯模型与其他分类方法相比具有最小的误差率。但是实际上并非总是如此，在朴素贝叶斯模型给定输出类别的情况下，假设属性之间相互独立，这个假设在实际应用中往往是不成立的，在属性个数比较多或者属性之间相关性较大时，分类效果不好。因此，在使用朴素贝叶斯分类模型筛选之后，仍然需要审计人员人工对告警事件进行审计，由此增加了审计人员的工作量，造成工作效率下降。

发明内容

本发明的主要目的在于提供一种事件审计方法、装置、终端设备以及存储介质，旨在减少审计人员的工作量，提升工作效率及事件日志的识别准确率。

为实现上述目的，本发明提供一种事件审计方法，包括：

获取预设的样本数据，所述样本数据包括各类事件日志构成的训练集和测试集；

通过预先基于所述样本数据中的训练集和测试集创建的TF-IDF模型并结合多种机器学习算法构建融合分类模型；

根据所述融合分类模型对所述测试集中的事件日志进行风险等级评估。

可选地，所述事件审计方法还包括：

将风险等级评估的高风险事件推送至触发相应事件的用户。

可选地，所述事件审计方法还包括：

接收所述用户针对所述相应事件的反馈信息。

可选地，所述通过预先基于所述样本数据中的训练集和测试集创建的TF-IDF模型并结合多种机器学习算法构建融合分类模型的步骤包括：

通过预先基于所述样本数据中的训练集和测试集创建的TF-IDF模型训练多种分类模型；

通过训练好的多种分类模型分别计算所述测试集的分类准确率；

根据各个分类模型计算得到的测试集的准确率设定每个分类模型的权重；

根据每个分类模型的权重构建融合分类模型。

可选地，所述根据所述融合分类模型对所述测试集中的事件日志进行风险等级评估的步骤包括：

提取所述融合分类模型中各个分类器的权重；

使用各个分类器的权重为所述测试集打分，并将得到的各个分类器的打分数值进行求和，得到融合分类模型的打分结果；

将所述融合分类模型的打分结果与预先设定的风险阈值进行比较；

当所述融合分类模型的打分结果大于预先设定的风险阈值时，判定测试集的事件被识别为高风险事件，否则识别为低风险事件。