本发明涉及网络安全,尤其涉及一种利用图注意力自编码器(graphattention autoencoder)辅助社区检测(community detection)的告警误报消除方法。
背景技术:
1、随着信息技术的高速发展,网络安全问题日益凸显。为了应对这一挑战,各种网络安全技术应运而生,入侵检测系统(intrusion detection system,简称ids)成为保障网络安全的关键手段之一。当检测到威胁,ids会立即发出警报,并可能采取阻断攻击源、记录攻击信息等措施,将潜在的安全风险降到最低。然而由于网络流量的复杂多变以及规则签名的不完善,ids经常会产生误报,使得安全分析人员不得不花费大量时间来处理这些误报,从而降低了工作效率。与此同时,警报疲劳问题会对企业安全造成严重后果,当分析师被大量警报淹没时,高风险警报可能会被忽视或延迟响应,从而使组织面临潜在的网络威胁或数据泄露。
2、目前降低告警误报率的手段主要分为两种:基于检测技术和基于后处理。前者在检测阶段实现,通过优化ids配置、阈值和规则或利用机器学习模型等方法提高检测准确率。后者在检测阶段之后处理生成的告警,主要使用分类器识别假阳性。业界相关研究主要是基于检测技术来缓解告警疲劳问题,但是由于攻击策略的变化和人为因素的结合,基于检测技术的方法仍然会产生一定数量的错误警报。因此需要基于后处理的方法进一步对告警进行分析和过滤,从而减轻警报疲劳,提高警报的可靠性。传统基于后处理的方法主要是在获得告警后通过分类器实现真实告警和虚假告警的区分,但是大多数降低误报率的方法都是基于有监督学习的,对于大规模的网络流量数据集,手动标记警报数据的工作量非常大,成本也很高。
技术实现思路
1、本发明的目的是提供一种利用图注意力自编码器辅助社区检测的告警误报消除方法,该方法有效利用了告警数据的特征和拓扑信息,降低了告警误报率,缓解了告警疲劳问题。
2、本发明的目的是通过以下技术方案实现的:
3、一种利用图注意力自编码器辅助社区检测的告警误报消除方法,所述方法包括:
4、步骤1、首先从原始告警数据中提取出区分真实告警和虚假告警的特征;
5、步骤2、通过图注意力自编码器获取告警数据的属性特征和拓扑信息,通过最小化重构的拓扑损失来获得告警节点的表示;
6、步骤3、然后利用模块度最大化来辅助社区检测,对真实告警和虚假告警进行分类。
7、由上述本发明提供的技术方案可以看出,上述方法有效利用了告警数据的特征和拓扑信息,降低了告警误报率,缓解了告警疲劳问题,让团队将精力集中在真正的安全事件上,提高工作效率并优化资源分配。
1.一种利用图注意力自编码器辅助社区检测的告警误报消除方法,其特征在于,所述方法包括:
2.根据权利要求1所述利用图注意力自编码器辅助社区检测的告警误报消除方法,其特征在于,在步骤1中,具体使用元组来描述每个原始告警数据,包括时间戳、警报类别、警报描述、源ip、源端口、目的ip、目的端口和协议;
3.根据权利要求1所述利用图注意力自编码器辅助社区检测的告警误报消除方法,其特征在于,在步骤2中,具体是引入了一种图嵌入模型,该图嵌入模型结合了图注意力网络和自编码器来学习告警数据的属性特征和拓扑信息;
4.根据权利要求3所述利用图注意力自编码器辅助社区检测的告警误报消除方法,其特征在于,在步骤3中,模块度最大化使得节点被划分为不同的社区,具有高模块度的图中,同一社区内的节点之间有密集的连接,而不同社区之间的节点连接则为稀疏;
