[发明专利]一种告警分类方法、装置、电子设备及存储介质

说明书

本申请实施例提供了一种告警分类方法、装置、电子设备及存储介质。用于对网络攻击行为对应的告警信息进行分类，基于分类结果快速有效地进行安全响应与处置，提升对网络攻击行为的处理效率。所述方法包括：在检测到存在网络攻击行为时，从网络攻击行为对应的告警信息中获取网络攻击特征；通过训练好的网络攻击预测模型基于网络攻击特征对网络攻击行为进行风险评估；其中，网络攻击预测模型是通过标注的正样本集和负样本集对双向编码器BERT模型进行训练得到的，正样本集中的数据为网络攻击行为会产生实际影响的告警信息数据，负样本集中的数据为网络攻击行为不会产生实际影响的告警信息数据；基于风险评估结果对告警信息进行分类。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种告警分类方法、装置、电子设备及存储介质。

背景技术

随着互联网技术的发展，电脑在各个行业都得到了广泛的应用，这些电脑可能会遭受来自互联网黑客的攻击，目前，为了能够及时发现黑客的攻击行为，通常会采用安全检测设备/系统对攻击行为进行检测，并通过安全管理人员对检测过程中产生的安全告警日志进行分析，然而网络攻击产生的安全告警日志一般数量较大，因此安全管理人员很难从海量的日志信息中筛选出高价值的告警信息，不利于快速有效地进行安全响应与处置。

发明内容

本申请实施例提供了一种告警分类方法、装置、电子设备及存储介质。用于对网络攻击行为对应的告警信息进行分类，基于分类结果快速有效地进行安全响应与处置，提升对网络攻击行为的处理效率。

第一方面，提供一种告警分类方法，所述方法包括：

在检测到存在网络攻击行为时，从所述网络攻击行为对应的告警信息中获取网络攻击特征；

通过训练好的网络攻击预测模型基于所述网络攻击特征对所述网络攻击行为进行风险评估，获得风险评估结果；其中，所述网络攻击预测模型是通过标注的正样本集和负样本集对双向编码器BERT模型进行训练得到的，所述正样本集中的数据为网络攻击行为会产生实际影响的告警信息数据，所述负样本集中的数据为网络攻击行为不会产生实际影响的告警信息数据；

基于所述风险评估结果对所述告警信息进行分类。

可选的，所述风险评估结果中包括所述网络攻击行为的实际影响程度，所述基于所述风险评估结果对所述告警信息进行分类，包括：

基于所述实际影响程度确定所述网络攻击行为是否会产生实际影响；

若所述网络攻击行为会产生实际影响，则确定所述告警信息属于第一类别；其中，所述第一类别中的告警信息为需要进行处理的告警信息；

若所述网络攻击行为不会产生实际影响，则确定所述告警信息属于第二类别；其中，所述第二类别中的告警信息为不需要进行处理的告警信息。

可选的，所述确定所述告警信息属于第一类别之后，还包括：

根据所述实际影响程度反馈指示信息；其中，所述指示信息用于指示对所述网络攻击行为进行处理的方式。

可选的，所述根据所述实际影响程度反馈指示信息，包括：

若所述实际影响程度大于第一预设阈值，则反馈第一指示信息；其中，所述第一指示信息用于指示通过预设策略对所述网络攻击行为进行阻断；

若所述实际影响程度小于所述第一预设阈值，则反馈第二指示信息；其中，所述第二指示信息用于指示相关业务人员确认是否需要对所述网络攻击行为进行阻断。

第二方面，提供一种告警分类装置，所述装置包括：

处理模块，用于在检测到存在网络攻击行为时，从所述网络攻击行为对应的告警信息中获取网络攻击特征；