本申請公開了一種告警預測方法及系統，包括：對歷史告警信息進行預處理和數據集劃分處理，得到樣本特征向量集合；使用樣本特征向量集合訓練集成學習模型，得到訓練好的預測模型；使用訓練好的預測模型對網絡安全設備發送的告警信息進行實時預測和告警；若實時預測結果中的誤判數量超過更新閾值，則使用增量學習的方式更新預測模型，得到新的預測模型?；诩蓪W習模型的預測模型能夠處理海量告警信息，并對高危告警進行實時預測；使用增量學習的方式更新預測模型，對安全設備的誤報有魯棒性，能夠對源IP發生真實高危事件的情況做出及時準確預報，并將相關告警信息通報給運維人員，幫助運維人員提前判斷處理。

技術領域

本申請涉及網絡安全技術領域，尤其涉及一種告警預測方法及系統。

背景技術

入侵檢測系統(Intrusion-detection system，IDS)是一種對網絡傳輸進行即時監視，在發現可疑傳輸時發出警報或采取主動反應措施的網絡安全設備。與其他網絡安全設備的不同之處在于，IDS使用的是一種積極主動的安全防護技術。

威脅發現系統(Threat detection system，TDA)是一種用于威脅檢測的網絡安全設備，通過分析所有端口及多種通訊協議的應用來解析出定向性攻擊、高級威脅以及勒索軟件的攻擊行為，能快速發掘并分析惡意文檔、惡意軟件、惡意網頁、違規外連、勒索軟件以及傳統防護無法偵測到的內網攻擊以及定向式攻擊活動。

以IDS、TDA為代表的網絡安全設備通過分析網絡流量，針對可能的異常流量產生告警信息。通過對網絡安全設備產生的告警信息記錄進行分析，可以幫助運維人員判斷是否有需要處理的異常事件發生、了解設備運行狀況等。由于在相對復雜的網絡場景下，網絡安全設備會持續產生大量的告警信息，其中包含了很多的無效甚至錯誤告警，給運維人員及時發現、處理異常事件帶來了困難，僅依靠人工分析還容易產生遺漏、誤判等問題。同時，從告警信息產生到運維人員作出處理有時間差，對異常事件的處理往往是事后查證，很難做到實時響應甚至提前預防。

目前許多企業的IT運維管理任務需要耗費大量人力資源。傳統的運維管理方式會等到終端設備故障出現后再由運維人員采取相應措施補救，經常讓IT部門疲憊不堪，而且設備的故障經常給企業帶來經濟損失。

現有方法往往使用告警記錄關聯規則的告警信息分析方法，基于人工定義或頻繁模式挖掘算法對告警信息的事件名稱進行處理，得到告警記錄關聯序列，幫助運維人員發現需要關注的記錄序列。首先，從歷史告警信息中，找到運維人員發現的真實高危告警信息；之后，對每一種真實高危告警，用頻繁模式挖掘算法，從真實高危告警信息前的若干條記錄組成的樣本集合中，找出頻繁出現的告警事件序列；在告警信息的實時處理中，對最近產生的若干條告警信息使用頻繁模式挖掘，得到當前頻繁告警事件序列。將當前頻繁告警事件序列與真實高危告警的頻繁告警事件序列進行比照，輔以根據人工經驗確定的閾值，判定是否需要通報可能出現的真實高危告警。

此類方法雖然能夠有效整理告警記錄序列，能夠給出對真實高危告警的預測，但是不能做到對運維人員關注的異常事件的預報。此外，頻繁模式挖掘算法效率低，難以處理海量告警信息，當安全設備誤報率較高時，在信息記錄中存在大量的誤報，基于頻繁模式挖掘算法會自動忽略出現頻次低的告警信息，導致一些重要告警信息被忽略，無法找到真正有價值的，有實際意義的告警序列，且人工定義的規則無法主動發現新出現攻擊或威脅類型對應的告警記錄序列。

因此，需要提供一種能夠處理海量告警信息，對高危告警進行實時預測，且對安全設備的誤報有魯棒性的告警預測方法及系統。

發明內容

為解決以上問題，本申請提出了一種告警預測方法及系統。

一方面，本申請提出一種告警預測方法，包括：

對歷史告警信息進行預處理和數據集劃分處理，得到樣本特征向量集合；

使用樣本特征向量集合訓練集成學習模型，得到訓練好的預測模型；