(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111558765.3 (22)申请日 2021.12.20 (71)申请人 绿盟科技 集团股份有限公司 地址 100089 北京市海淀区北洼路4 号益泰 大厦5层 申请人 北京神州绿盟科技有限公司 (72)发明人 吴复迪　薛见新　张润滋　王星凯　 童明凯　刘文懋　顾杜鹃　 (74)专利代理 机构 北京同达信恒知识产权代理 有限公司 1 1291 代理人 李静 (51)Int.Cl. H04L 41/0631(2022.01) H04L 9/40(2022.01) G06N 3/04(2006.01)G06N 3/08(2006.01) (54)发明名称 一种检测攻击告警的方法、 装置、 检测设备 及存储介质 (57)摘要 本申请实施例公开了一种检测攻击告警的 方法、 装置、 检测设备及存储介质， 该方法包括： 提取各个告警信息中的共有可识别的特征字段； 基于每个告警信息中的每个特征字段的特征值 对各个告警信息进行初始分组， 确定各个组对应 的描述信息； 基于每个组的描述信息中的各个特 征字段的特征值， 对各个告警信息进行至少一次 重新分组， 直到重新分组后的每个组的描述信息 中包括的特征字段的数量不大于第一预设数量 阈值； 在得到的各个组中， 筛选出至少一个目标 组， 并根据每个目标组各自对应的目标描述信息 确定至少一个基线规则； 将待检测的告警信息与 至少一个基线规则进行匹配， 确定待检测的告警 信息是否为非关键告警。 提高了检测攻击告警的 效率， 降低误报率。 权利要求书3页 说明书25页 附图5页 CN 114363148 A 2022.04.15 CN 114363148 A 1.一种检测攻击告警的方法， 其特 征在于， 包括： 提取目标时间段内的各个告警信息中的共有可识别的特 征字段； 基于每个告警信 息中的每个所述特征字段的特征值对各个告警信 息进行初始分组， 确 定各个组对应的描述信息； 其中， 所述各个组对应的描述信息包括对应组中各个告警信息 的特征字段以及每个特征字段对应的特征值， 且， 不同告警信息的同一特征字段对应的特 征值相同； 基于每个组的描述信 息中的各个特征字段的特征值， 对各个告警信 息进行至少一 次重 新分组， 直到重新分组后的每个组的描述信息中包括的特征字段的数量不大于第一预设数 量阈值； 在初始分组以及重新分组后得到的各个组中， 根据 各个组的描述信 息筛选出至少一个 目标组， 并根据所述至少一个目标组各自对应的目标描述信息确定至少一个基线规则； 其 中， 每个所述基线规则为对应目标 组的所述目标描述信息中的特征字段的特征值与对应的 特征字段的组合； 将待检测的告警信 息与所述至少一个基线规则进行匹配， 根据匹配结果确定所述待检 测的告警信息是否为非关键告警。 2.根据权利要求1所述的方法， 其特征在于， 所述基于每个组的描述信 息中的各个特征 字段的特 征值， 对各个告警信息进行至少一次重新分组， 包括： 确定各个描述信息构成的描述信息集 合； 依次删除所述描述信 息集合中的每个特征字段， 并将其他特征字段的特征值相同的告 警信息合并为一组进行重新分组， 并对重新分组得到的各个组的描述信息进行更新， 得到 更新后的描述信息集 合； 根据更新后的描述信息集合确定目标特征字段； 其中， 所述目标特征字段为下一次需 要删除的特 征字段； 删除所述更新后的描述信 息集合中的所述目标特征字段， 对所述更新后的描述信 息集 合更新， 直到得到的描述信息集合中包括的每个组的描述信息中的特征字段的数量不大于 第一预设数量阈值。 3.根据权利要求2所述的方法， 其特征在于， 所述各个组对应的描述信 息还包括对应组 中告警信息的数量和对应组的异常状态； 所述对应组的异常状态是根据所述对应组中的各 个告警信息的异常状态确定的； 所述并将其他特征字段的特征值相同的告警信 息合并为一组进行重新分组， 并对重新 分组得到的各个组的描述信息进行 更新， 包括： 在上一次分组得到的各个组中， 若存在至少两个组， 且所述至少两个组中的告警信息 的其他特征字段中， 同一特征字段的特征相同， 则通过将所述至少 两个组的告警信息合并 为一组进行重新分组， 并对重新分组得到的各个组的描述信息进行 更新； 其中， 合并至少两个组的告警信息得到的一个组的描述信息中， 告警信息的数量为所 述至少两个组的告警信息的数量的和， 所述组的异常状态为所述至少两个组的异常状态重 新确定的异常状态。 4.根据权利要求3所述的方法， 其特征在于， 所述在初始分组以及重新分组后得到的各 个组中， 根据各个组的描述信息 筛选出至少一个目标组， 包括：权　利　要　求　书 1/3 页 2 CN 114363148 A 2在初始分组以及重新分组后得到的各个组中， 删除异常的组； 其中， 异常的组为通过对 应组描述信息中的组的异常状态确定； 在得到的各个组中， 按照各个组的描述信息中告警信息的数量和特征字段的数量， 筛 选出至少一个目标组。 5.根据权利要求3所述的方法， 其特征在于， 通过如下方式确定每个告警信 息的异常状 态： 确定所述告警信息对应的告警载荷的哈希值； 根据所述哈希值和目标神经网络模型确定所述哈希值对应的重构误差； 其中， 所述目 标神经网络模型的训练样本为多个待训练的哈希 值， 一个待训练的告警载荷确定一个待训 练的哈希值； 所述目标神经网络模型的训练为自监 督学习的训练； 若所述重构误差大于预设重构误差 阈值， 则确定所述告警载荷对应的告警信 息为异常 的告警信息 。 6.根据权利要求5所述的方法， 其特征在于， 所述目标神经网络模型是通过如下方式得 到的： 构建包括自编码器的初始神经网络模型， 并确定每个待训练的告警载荷的待训练的哈 希值； 将各个待训练 的哈希值进行分组， 每组中包括的待训练 的哈希值的个数的对数作为训 练权重； 应用所述训练权重和各个待训练的哈希值构 成的训练样本集合， 对所述初始神经网络 模型进行重构训练， 直到得到的目标神经网络模型收敛； 其中， 每次训练过程中， 应用上一 次训练得到的重构误差更新所述训练样本集 合。 7.根据权利要求1所述的方法， 其特征在于， 所述将待检测的告警信 息与所述至少一个 基线规则进行匹配， 根据匹配结果确定所述待检测的告警信息是否为非关键告警之前， 还 包括： 在所述目标时间段内的各个告警信 息中， 确定与 所述至少一个基线规则匹配的告警信 息； 对所述至少一个基线规则匹配的告警信 息执行去重操作， 并确定去重后的所述告警信 息的目标 数量， 以及去重后的所述告警信息对应的告警载荷的哈希值构成的哈希值 集合； 所述将待检测的告警信 息与所述至少一个基线规则进行匹配， 根据匹配结果确定所述 待检测的告警信息是否为非关键告警， 包括： 若所述待检测的告警信 息与所述至少一个基线规则匹配成功， 且所述目标数量小于第 二预设数量阈值， 则 在所述待检测的告警信息对应的待检测的告警载荷的哈希值属于所述 哈希值集合时， 确定所述待检测的告警信息为非关键告警； 若所述待检测的告警信 息与所述至少一个基线规则匹配成功， 且所述目标数量大于或 等于所述第二预设数量阈值， 则在应用目标支持向量机模型确定所述待检测的告警信息对 应的待检测的告警载荷的哈希值为正例时， 确定所述待检测的告警信息的检测状态为非关 键告警； 其中， 所述 目标支持向量机模型是将所述哈希值集合中的各个的目哈希值作为训 练样本训练得到的。 8.根据权利要求5～7任一项所述的方法， 其特征在于， 通过如下方式确定每个告警载权　利　要　求　书 2/3 页 3 CN 114363148 A 3