[发明专利]网络安全告警监测方法

权利要求书

1.一种网络安全告警监测方法，包括如下步骤：

A、按照威胁级别标记历史日志中的攻击事件，并对历史日志数据进行预处理与特征提取；

从历史日志中提取的特征包括类别型特征，对类别型特征进行标签编码或频率编码，并对进行频率编码后的特征进一步进行一位有效编码或对频率编码结果按照其频次顺序进行标签编码，以保留类别变量中的子类频次属性和高频分布标识；

B、应用XGBoost算法学习历史日志中攻击事件的规则，构建告警模型，并将告警模型部署在告警系统中；

C、告警模型在线分析实时网络访问信息后，量化并输出各攻击访问事件的风险值，

输出的风险值低于阈值a时，过滤该告警信息；

输出的风险值高于阈值b时，封禁攻击访问事件的访问ID；

输出的风险值在[a,b]区间时，将告警信息呈送至人工处理平台。

2.根据权利要求1所述的网络安全告警监测方法，其特征在于：所述的类别型特征包括事件ID、攻击类型、威胁级别，

针对事件ID、攻击类型的特征提取方法为，根据事件ID或攻击类型中各子类的出现频次进行频率编码，再根据频率编码中各子类的频次顺序关系进行标签编码，同时对频率编码中各子类进行一位有效编码，识别出现频次最高的子类；

针对威胁级别的特征提取方法为，按照标定的威胁级别对历史日志信息进行标签编码。

3.根据权利要求1所述的网络安全告警监测方法，其特征在于：从历史日志中提取的特征还包括IP地址字段，针对IP地址字段数据，根据网段规则进行IP地址段划分，作为类别变量编码进行编码，转为类型特征；同时，IP地址字段直接转换为数值。

4.根据权利要求1所述的网络安全告警监测方法，其特征在于：所述的步骤A中，对历史日志数据进行特征提取后，先基于卡方检验剔除与训练标签相关性低于设定阈值的特征，然后根据筛选后特征间的person系数，进一步剔除线性相关程度高于设定阈值的特征；

在步骤B中，结合包裹法和方差分析法，对剩余特征进行XGBoost模型多轮训练，每次训练随机选取1/3特征进行五折交叉训练，计算同一特征在不同特征组合和不同训练批次中的重要性权值(百分比)和方差，进一步剔除重要性权值低于设定阈值或方差大于设定阈值的特征，最终选取的特征维度小于等于2000。

5.根据权利要求1所述的网络安全告警监测方法，其特征在于：在告警模型的构建过程中，基于历史日志数据的学习过程包括两个阶段，

第一阶段对历史日志中对标记的网络攻击告警进行插值采样，构造网络攻击告警的插值样本组，所述的插值样本组与原始告警数据组合形成训练集；

第二阶段针对第一阶段得到的训练集，计算每个特征的最佳分割点并挑选出收益最大的特征。