(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113836527A(43)申请公布日2021.12.24(21)申请号202111390020.0(22)申请日2021.11.23(71)申请人北京微步在线科技有限公司地址100082北京市海淀区苏州街49-3号3层301室(72)发明人熊剑陈杰黄雅芳童兆丰薛锋(74)专利代理机构北京超凡宏宇专利代理事务所(特殊普通合伙)11463代理人蒋姗(51)Int.Cl.G06F21/55(2013.01)G06N20/00(2019.01)权利要求书2页说明书10页附图5页(54)发明名称入侵事件检测模型构建方法、装置及入侵事件检测方法(57)摘要一种入侵事件检测模型构建方法、装置及入侵事件检测方法，涉及网络安全技术领域，包括：先获取用于训练原始检测模型的目标数据集；并对目标数据集进行预处理，得到特征向量集；再根据目标数据集对特征向量集进行特征关联处理，得到独立特征向量集；进一步地，对目标数据集中带标签的事件数据进行过采样，得到过采样数据，以及对目标数据集中无标签的日志数据进行欠采样，得到欠采样数据；最后根据独立特征向量集、过采样数据以及欠采样数据，对原始检测模型进行训练，得到入侵事件检测模型，能够构建入侵事件检测模型，以实现快速准确的对入侵事件进行检测，检测准确率高，误报率低，进而有利于维护网络安全。CN113836527ACN113836527A权利要求书1/2页1.一种入侵事件检测模型构建方法，其特征在于，包括：获取用于训练原始检测模型的目标数据集；对所述目标数据集进行预处理，得到特征向量集；根据所述目标数据集对所述特征向量集进行特征关联处理，得到独立特征向量集；对所述目标数据集中带标签的事件数据进行过采样，得到过采样数据，以及对所述目标数据集中无标签的日志数据进行欠采样，得到欠采样数据；根据所述独立特征向量集、所述过采样数据以及所述欠采样数据，对所述原始检测模型进行训练，得到入侵事件检测模型。2.根据权利要求1所述的入侵事件检测模型构建方法，其特征在于，所述获取用于训练原始检测模型的目标数据集，包括：获取经单位时间聚合后的高威胁告警数据，得到原始数据集，以及获取聚合后的低威胁告警数据，得到负样本数据；对所述原始数据集进行预处理，得到处理数据；根据预先构建的三级动作标签体系对所述处理数据进行数据分析，确定目标入侵事件以及所述目标入侵事件对应的目标行为标签；确定所述负样本数据中入侵事件的行为标签；根据所述目标入侵事件的目标行为标签、所述负样本数据中入侵事件的行为标签以及所述处理数据，确定目标数据集。3.根据权利要求2所述的入侵事件检测模型构建方法，其特征在于，所述根据预先构建的三级动作标签体系对所述处理数据进行数据分析，确定目标入侵事件以及所述目标入侵事件对应的目标行为标签，包括：根据预先构建的三级动作标签体系对所述处理数据进行数据分析，得到目标入侵事件以及所述目标入侵事件对应的动静态行为标签；根据所述三级动作标签体系以及所述处理数据中的入侵阶段信息，构建所述目标入侵事件的入侵上下文标签；根据所述三级动作标签体系以及所述处理数据中的进程链，确定所述目标入侵事件的复合型行为标签；根据所述动静态行为标签、所述入侵上下文标签以及所述复合型行为标签，确定所述目标入侵事件的目标行为标签。4.根据权利要求2所述的入侵事件检测模型构建方法，其特征在于，在对所述原始数据集进行预处理，得到处理数据之前，所述方法还包括：根据所述处理数据以预设算法构建三级动作标签体系，所述三级动作标签体系包括一级标签、二级子标签以及三级子标签，其中，所述三级子标签包括所述二级子标签的子属性数据。5.根据权利要求1所述的入侵事件检测模型构建方法，其特征在于，所述根据所述目标数据集对所述特征向量集进行特征关联处理，得到独立特征向量集，包括：根据所述目标数据集中时序上下文的关联性数据，生成与所述特征向量集对应的附加向量数据；根据所述特征向量集和所述附加向量数据，生成新的特征向量集；2CN113836527A权利要求书2/2页将所述新的特征向量集中每个特征向量与所述目标数据集中的告警相关信息进行对应关联，得到独立特征向量集。6.根据权利要求1所述的入侵事件检测模型构建方法，其特征在于，所述根据所述独立特征向量集、所述过采样数据以及所述欠采样数据，对所述原始检测模型进行训练，得到入侵事件检测模型，包括：根据所述独立特征向量集、所述过采样数据以及所述欠采样数据生成原始样本集；将所述原始样本集划分为训练集和测试集；通过所述训练集对所述原始检测模型进行训练，得到训练好的检测模型；通过所述测试集对所述训练好的检测模型进行评估，得到评估结果；根据所述评估结果和所述训练好的检测模型，确定入侵事件检测模型。7