CN117350288B - 基于案例匹配的网络安全运营辅助决策方法、***及装置 - Google Patents
基于案例匹配的网络安全运营辅助决策方法、***及装置 Download PDFInfo
- Publication number
- CN117350288B CN117350288B CN202311629837.8A CN202311629837A CN117350288B CN 117350288 B CN117350288 B CN 117350288B CN 202311629837 A CN202311629837 A CN 202311629837A CN 117350288 B CN117350288 B CN 117350288B
- Authority
- CN
- China
- Prior art keywords
- case
- decision
- corpus
- similarity
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 41
- 230000011218 segmentation Effects 0.000 claims abstract description 44
- 238000012549 training Methods 0.000 claims abstract description 31
- 230000004044 response Effects 0.000 claims abstract description 15
- 238000004140 cleaning Methods 0.000 claims abstract description 6
- 238000012545 processing Methods 0.000 claims description 25
- 238000004458 analytical method Methods 0.000 claims description 13
- 238000012937 correction Methods 0.000 claims description 12
- 230000008569 process Effects 0.000 claims description 11
- 239000000284 extract Substances 0.000 claims description 3
- 238000012163 sequencing technique Methods 0.000 claims description 3
- 230000009286 beneficial effect Effects 0.000 abstract description 3
- 230000010485 coping Effects 0.000 abstract description 3
- 238000004422 calculation algorithm Methods 0.000 description 10
- 238000010276 construction Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 230000007774 longterm Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 3
- 238000003058 natural language processing Methods 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 238000009825 accumulation Methods 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 238000010924 continuous production Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 238000010561 standard procedure Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/20—Natural language analysis
- G06F40/279—Recognition of textual entities
- G06F40/289—Phrasal analysis, e.g. finite state techniques or chunking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/22—Matching criteria, e.g. proximity measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/20—Natural language analysis
- G06F40/205—Parsing
- G06F40/216—Parsing using statistical methods
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computational Linguistics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Audiology, Speech & Language Pathology (AREA)
- Data Mining & Analysis (AREA)
- Probability & Statistics with Applications (AREA)
- Life Sciences & Earth Sciences (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Machine Translation (AREA)
Abstract
本发明公开了一种基于案例匹配的网络安全运营辅助决策方法、***及装置,首先获取网络安全运营实践的案例,并提取案例描述,进行分词和文本清洗后,生成决策案例语料;然后基于决策案例语料构建训练集,训练得到辅助决策模型;最后将目标事件提取事件描述,进行分词处理后生成语料,基于辅助决策模型,计算所有决策案例语料与目标事件的事件描述间的相似度并进行相似度修正,选择修正后的相似度最高的若干决策案例作为辅助决策依据。本发明有助于充分复用安全专家先期积累的安全运营经验,从而针对特定安全运营场景,智能寻找相匹配的应对策略,以支持不同安全场景的快速、有效响应。
Description
技术领域
本发明涉及网络安全运营领域,尤其涉及一种基于案例匹配的网络安全运营辅助决策方法、***及装置。
背景技术
不同企业及组织间的网络拓扑、业务特点存在差异,除常规的防护手段以外,基于组织内部安全专家长期经验积累的安全策略及运营经验通常无法复用于其他组织,一方面,难以建立起足以覆盖全部安全运营场景的集阻止、检测、响应和预防与组织一体的防护体系,另一方面,面对庞大的数据和复杂的情景时难以避免地存在决策不准确、反应处置慢等问题。针对上述问题,辅助决策能够提供了一种有效复用组织所长期积累的安全经验的方案。
发明内容
本发明目的在于针对现有技术的不足,提出一种基于案例匹配的网络安全运营辅助决策方法、***及装置。
本发明的目的是通过以下技术方案来实现的:第一方面,本发明提供了一种基于案例匹配的网络安全运营辅助决策方法,该方法包括以下步骤:
(1)获取网络安全运营实践的案例,并提取案例描述,进行分词和文本清洗后,生成决策案例语料;
(2)基于步骤(1)得到的全部决策案例语料构建训练集,训练word2vec模型得到辅助决策模型;
(3)将目标事件提取事件描述,根据步骤(1)的分词处理方式进行处理后生成语料,基于步骤(2)中的辅助决策模型,计算步骤(1)中得到的所有决策案例语料与目标事件的事件描述间的相似度并进行排序,选取部分相似决策案例,基于选出的相似决策案例的案例类型、数据流向、案例等级和影响***与目标事件对应信息进行比较,每有一项相同则将该相似决策案例的相似度乘以相似度修正基数进行相似度修正,选择修正后的相似度最高的若干决策案例作为辅助决策依据。
进一步地,步骤(1)中,根据各案例的名称、类型及分析信息,将案例名称或分析结果作为案例描述。
进一步地,步骤(1)中,分词过程使用thulac遍历所有待分词目标语句,生成分词后的词序列并标注各词语词性,并将安全运营案例中所涉及的专业词汇,形成用户词典用于分词过程。
进一步地,步骤(1)中,将分词后得到的由词序列由字符串类型转化为列表类型,获得决策案例语料,集中存储构建决策案例语料库。
进一步地,步骤(3)中,提取目标事件的事件描述,以及事件类型、数据流向、事件等级、影响***信息,并将决策案例语料库中语料进行去重处理,形成临时性的案例描述库,用于后续目标事件相似案例的提取。
进一步地,步骤(3)中,定义相似度由高到低的各决策案例描述为:,其中,则第i个决策案例描述所对应的相似度为/>,选择与目标事件相似度最高的前n条决策案例描述,n的取值方式如下:
i. 计算阈值,若存在最小的/>使/>,则/>;
ii. 若不存在使/>,则/>。
进一步地,步骤(3)中,案例类型分为威胁响应案例、应急处置案例、标准操作流程、其他运营经验4个大类,每个大类继续细分为多个小类,仅当决策案例所属案例类型大类及小类均与目标事件相同时,对其相似度进行一次修正;数据流向仅存在威胁响应案例中,为攻击者对受害者发起攻击时的数据流向,仅当决策案例与目标事件均存在此字段,且内容完全相同时,对其相似度进行一次修正;案例等级为目标事件和决策案例根据类型、威胁等级信息赋值的事件等级,仅当决策案例与目标事件的案例等级完全相同时,对其相似度进行一次修正;目标事件产生时,判断其事件影响***,如判断失败,则通过安全运营人员设定该字段,仅当决策案例与目标事件此字段完全相同时,对其相似度进行一次修正。
第二方面,本发明还提供了一种基于案例匹配的网络安全运营辅助决策***,该***包括决策案例语料生成模块、辅助决策模型构建模块和相似决策案例推荐模块;
所述决策案例语料生成模块用于获取网络安全运营实践的案例,并提取案例描述,进行分词和文本清洗后,生成决策案例语料;
所述辅助决策模型构建模块用于基于得到的全部决策案例语料构建训练集,训练word2vec模型得到辅助决策模型;
所述相似决策案例推荐模块将目标事件提取事件描述,根据分词处理方式进行处理后生成语料,基于辅助决策模型,计算所有决策案例语料与目标事件的事件描述间的相似度并进行排序,选取部分相似决策案例,基于选出的相似决策案例的案例类型、数据流向、案例等级和影响***与目标事件对应信息进行比较,每有一项相同则将该相似决策案例的相似度乘以相似度修正基数进行相似度修正,选择修正后的相似度最高的若干决策案例作为辅助决策依据。
第三方面,本发明还提供了一种基于案例匹配的网络安全运营辅助决策方法装置,包括存储器和一个或多个处理器,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现所述的一种基于案例匹配的网络安全运营辅助决策方法。
第四方面,本发明还提供了一种计算机可读存储介质,其上存储有程序,所述程序被处理器执行时,实现所述的一种基于案例匹配的网络安全运营辅助决策方法
本发明的有益效果:本发明针对组织及企业网络安全运营当中专家力量不足、安全策略及运营经验无法有效推广的问题,引入自然语言处理领域的thulac分词及word2vec技术,通过建立决策案例语料库、训练辅助决策模型,设计了一种网络安全运营辅助决策方法及***。有助于充分复用安全专家先期积累的安全运营经验,从而针对特定安全运营场景,智能寻找相匹配的应对策略,以支持不同安全场景的快速、有效响应。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图做简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动前提下,还可以根据这些附图获得其他附图。
图1为本发明提供的一种基于案例匹配的网络安全运营辅助决策方法的流程图。
图2为构建决策案例语料库示意图。
图3为Skip-gram算法根据中心词对其前后各window个词语进行预测示意图。
图4为相似案例推荐流程示意图。
图5为本发明提供的一种基于案例匹配的网络安全运营辅助决策装置的结构图。
具体实施方式
以下结合附图对本发明具体实施方式作进一步详细说明。
如图1所示,本发明提供的一种基于案例匹配的网络安全运营辅助决策方法,通过一定的NLP技术,提取专家先验经验构建训练语料库,并以此完成智能辅助决策模型的训练。从而基于智能辅助决策模型,实现针对特定安全运营场景智能寻找相匹配的应对策略,以支持不同安全场景的快速、有效响应。本发明应用thulac分词及Word2Vec技术来完成训练语料库及辅助决策模型的构建。其中,thulac是一种高效的中文文本分割工具,主要用于NLP中的中文文本分词;Word2Vec是一种基于双层神经网络的词向量转化模型,通过将词语映射至特定向量以表示词语之间的关系,从而实现词语间、语句间相似度的计算。
本发明方法具体步骤如下:
1. 决策案例语料库建立
决策案例语料库用于存储经过分词处理的网络安全运营案例语言材料,以在辅助决策模型构建过程当中为模型训练提供训练语料,其建立需要以长期的网络安全运营案例的积累及分类为基础。本发明中,在长期的网络安全运营实践中,记录包括威胁响应案例、应急处置案例、标准操作流程、其他运营经验在内的诸多种类安全运营案例,通过自动化流程明确各案例的名称、类型、数据流向、案例等级、影响***、分析结果、处置流程等特征信息,存储于安全运营案例库中,并根据各案例的名称、类型及分析等信息,选取案例名称或分析结果作为该案例的案例描述。以此为基础,通过对案例描述的分词及语料生成两个步骤,构建决策案例语料库,如图2所示。
(1.1)案例描述分词
分词是将连续的字序列按照一定的规范重新组合成语义独立词序列的过程,本发明的分词目标为案例库中各案例的案例描述,即将其经过分词处理为一串以空格进行分隔的词序列。分词使用thulac完成,即遍历所有待分词目标语句,生成分词后的词序列并标注各词语词性。分词过程需要应用用户词典,即根据分词文本特性由使用者所录入的领域专业词汇。本发明整理长期积累的安全运营案例中所涉及的专业词汇,形成用户词典用于分词过程。同时,需要对分词后的文本做清洗操作,包括去除标点符号,及常用停用词,停用词内容包括助词、介词、感叹词及拟声词等。
(1.2)语料生成
将分词后得到的由词序列由字符串类型转化为列表类型,即获得决策案例语料,将其进行集中存储。由于模型训练要求语料能够充分反应各词语在全部案例中出现的频率,故不对语料库做去重处理。同时,语料生成是持续的过程,即新的案例录入案例库后,需要及时对语料库进行补充更新。
2. 辅助决策模型建立
使用gensim库中的word2vec模型包进行辅助决策模型的训练。读取语料库全部语料作为模型训练集,各训练参数设定如下:
(2.1)sg用于指定模型训练所用算法,本发明使用skip-gram算法,设置sg=1。Skip-gram算法根据中心词对其前后各window个词语进行预测,如图3所示。
(2.2)window表示当前词语与中心词之间的最大距离,设置window=3,即预测中心词前3-n个词、后n个词,其中n为0~3之间的随机数。
(2.3)min_count表示对词频的过滤阈值,即在语料库中频率小于该数值的词语将被忽略,该数值通常由语料库的大小决定,本发明中定义min_count=3。
(2.4)sample表示高频词汇的随机降采样的配置阈值,选取默认值1e-3。
(2.5)negative表示负采样noise words的数量,设定navigative=3。
(2.6)hs表示是否使用层级softmax,设定hs=1。
(2.7)workers表示训练并行线程数,由训练资源的性能所决定,本发明设定workers=4。
完成模型训练后,以文件形式保存模型。此外,由于gensim库中word2vec模型包支持利用新增语料对已训练完成的模型进行更新,基于此周期性利用新增的语料更新辅助决策模型。
3. 相似案例推荐
相似案例推荐的目的是,基于辅助决策模型和一系列相似度修正算法,从历史网络安全决策案例当中,寻找与待决策事件(目标事件)最为相似的案例,从而将这些相似案例的分析结果、处置流程提供给决策者,辅助其进行决策。相似案例推荐流程如图4所示。
(3.1)提取目标事件的事件描述,以及事件类型、数据流向、影响***等信息,并将目标事件的事件描述做分词处理。为确保相同的事件描述分词结果与语料库中现有语料完全相同,分词所采用的用户词典、停用词词库与语料库构建阶段完全一致。分词完成后,将事件描述分词结果转换为由多个词语字符串组成的列表类型。
(3.2)读取语料库语料,并进行去重处理,形成临时性的案例描述库,用于后续目标事件相似案例的第一次提取。此步骤需要确保临时性的案例描述库中不存在重复的案例描述语料。
(3.3)读取训练完成的辅助决策模型,遍历临时性的案例描述库中所有决策案例语料,计算其与目标事件的事件描述间的相似度,并降序排序。定义相似度由高到低的各案例描述为:,其中/>,则第i个案例描述所对应的相似度为/>。选取排序后与目标事件相似度最高的前n条案例描述,n的取值方式如下:
i. 计算,若存在最小的/>使/>,则/>;
ii. 若不存在使/>,则/>。
(3.4)从安全运营案例库中,依下述条件检索历史案例:
从而满足条件的历史案例的案例描述、类型、数据流向、案例等级、影响***、分析结果、处置流程在内的信息,并赋值相似度为对应的,其中/>。在此基础上,将案例类型、数据流向、案例等级、影响***依次与目标事件对应信息进行比较,每有一项相同,则将该案例相似度乘以相似度修正基数SRB,本发明中设定该数值为1.5。各项信息比较方式如下:
a.案例类型。案例类型分为威胁响应案例、应急处置案例、标准操作流程、其他运营经验4个大类,每个大类继续细分为多个小类,仅当历史案例所属案例类型大类及小类均与目标事件相同时,对其相似度进行一次修正。
b.数据流向。仅威胁响应案例存在此字段,为攻击者对受害者发起攻击时的数据流向,如“外网-内网”。仅当历史案例与目标事件均存在此字段,且内容完全相同时,对其相似度进行一次修正。
c.案例等级。目标事件产生时,由自动化流程根据其类型、威胁等级等信息自动赋值事件等级,即安全运营案例库中的案例等级字段。仅当历史案例与目标事件此字段完全相同时,对其相似度进行一次修正。
d.影响***。目标事件产生时,由自动化流程判断其事件影响***,如判断失败,则通过安全运营人员设定该字段。仅当历史案例与目标事件此字段完全相同时,对其相似度进行一次修正。
(3.5)完成对各案例相似度修正后,将其依相似度数值进行降序排序,选取其中相似度最高的前3条,提取并展示该案例处置建议及其各项信息,作为辅助决策依据。
本发明还提供了一种基于案例匹配的网络安全运营辅助决策***,该***包括数据接入模块、决策案例语料生成模块、辅助决策模型构建模块和相似决策案例推荐模块;
所述数据接入模块用于对接外部***,实时获取来自各外部***的各类别安全运营案例数据,并对各来源异构数据进行融合及格式化存储,形成安全运营案例库,为其他模块进行语料生成、模型训练及辅助决策提供支撑。
所述决策案例语料生成模块用于提取安全运营案例的案例描述字段,并通过对该字段进行分词处理以生成决策案例语料,在此基础上构建案例语料库将语料数据标准化存储,同时,此模块支持定期扫描新增安全运营案例并对与语料库进行更新。
所述辅助决策模型构建模块用于对接决策案例语料生成获取标准化的决策案例语料数据,并据此进行辅助决策模型的训练及周期性模型更新,同时,针对辅助决策模型训练过程中的关键参数,模型管理模块支持对其进行配置。
所述相似决策案例推荐模块用于根据辅助决策模型及算法,实现辅助决策案例推荐逻辑,并通过可视化界面将推荐相似案例信息推送给安全运营人员,同时,该模块根据辅助决策结果对模型及算法进行持续性反馈及优化。
所述数据接入模块通过API、Syslog、kafka等方式接入来自安全运营平台、态势感知平台、知识库平台等外部***的数据,获取包括威胁响应记录、应急处置记录、标准操作流程及其他安全运营经验和SOP在内的各类安全运营案件记录,通过对各来源数据的清洗、合并及数据富化,标准化案例的名称、类型、数据流向、案例等级、影响***、分析结果、处置流程等特征信息,并根据各案例的名称、类型及分析等信息,选取案例名称或分析结果作为该案例的案例描述,使其各来源案例转化结构化数据进行存储以形成安全运营案例库。所述安全运营案例库与语料管理模块、模型管理模块及辅助决策模块提供数据支撑。
所述决策案例语料生成模块对接数据接入模块下安全运营案例库,基于内嵌的thulac分词工具对未进行语料提取的安全运营案例的案例描述进行分词处理。为提升分词准确性,支持对用户词典及停用词词典进行维护,根据用户词典对分词结果进行优化并依据停用词词典内容对分词结果做去除停用词处理。所述决策案例语料生成将分词结果进行格式转换以集中存储,形成决策案例语料库,并持支根据所设定的频率周期性、或采取新增案例触发式方式对语料库进行新增语料操作。
所述辅助决策模型构建模块周期性读取决策案例语料生成所存储的结构化语料数据作为辅助决策模型训练数据,基于内嵌word2vec算法进行模型训练。训练分为2种情况,其一为模型预训练,其目的为首次构建辅助决策模型,应用全部决策案例语料进行模型构建及存储;其二为模型再训练,所述辅助决策模型构建模块读取已训练完成模型及语料库新增语料,对模型进行更新训练。
所述相似决策案例推荐模块基于辅助决策模型和一系列相似度修正算法,从历史网络安全决策案例当中,寻找与待决策事件最为相似的案例,从而将这些相似案例的分析结果、处置流程提供给决策者。所述相似决策案例推荐模块通过图形界面将辅助决策结果进行可视化展示,并开放结果查询API,以支持输出辅助决策结果至外部安全运营平台等***上,从而支持此类外部***上威胁响应、应急处置案例的闭环。
与前述一种基于案例匹配的网络安全运营辅助决策方法的实施例相对应,本发明还提供了一种基于案例匹配的网络安全运营辅助决策装置的实施例。
参见图5,本发明实施例提供的一种基于案例匹配的网络安全运营辅助决策装置,包括存储器和一个或多个处理器,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,用于实现上述实施例中的一种基于案例匹配的网络安全运营辅助决策方法。
本发明提供的一种基于案例匹配的网络安全运营辅助决策装置的实施例可以应用在任意具备数据处理能力的设备上,该任意具备数据处理能力的设备可以为诸如计算机等设备或装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在任意具备数据处理能力的设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图5所示,为本发明提供的一种基于案例匹配的网络安全运营辅助决策装置所在任意具备数据处理能力的设备的一种硬件结构图,除了图5所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的任意具备数据处理能力的设备通常根据该任意具备数据处理能力的设备的实际功能,还可以包括其他硬件,对此不再赘述。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本发明实施例还提供一种计算机可读存储介质,其上存储有程序,该程序被处理器执行时,实现上述实施例中的一种基于案例匹配的网络安全运营辅助决策方法。
所述计算机可读存储介质可以是前述任一实施例所述的任意具备数据处理能力的设备的内部存储单元,例如硬盘或内存。所述计算机可读存储介质也可以是任意具备数据处理能力的设备的外部存储设备,例如所述设备上配备的插接式硬盘、智能存储卡(Smart Media Card,SMC)、SD卡、闪存卡(Flash Card)等。进一步的,所述计算机可读存储介质还可以既包括任意具备数据处理能力的设备的内部存储单元也包括外部存储设备。所述计算机可读存储介质用于存储所述计算机程序以及所述任意具备数据处理能力的设备所需的其他程序和数据,还可以用于暂时地存储已经输出或者将要输出的数据。
上述实施例用来解释说明本发明,而不是对本发明进行限制,在本发明的精神和权利要求的保护范围内,对本发明作出的任何修改和改变,都落入本发明的保护范围。
Claims (8)
1.一种基于案例匹配的网络安全运营辅助决策方法,其特征在于,该方法包括以下步骤:
(1)获取网络安全运营实践的案例,并提取案例描述,进行分词和文本清洗后,生成决策案例语料;
(2)基于步骤(1)得到的全部决策案例语料构建训练集,训练word2vec模型得到辅助决策模型;
(3)将目标事件提取事件描述,根据步骤(1)的分词处理方式进行处理后生成语料,基于步骤(2)中的辅助决策模型,计算步骤(1)中得到的所有决策案例语料与目标事件的事件描述间的相似度并进行排序,选取部分相似决策案例,定义相似度由高到低的各决策案例描述为:Casei,其中i∈[1,+∞),则第i个决策案例描述所对应的相似度为Si,选择与目标事件相似度最高的前n条决策案例描述,n的取值方式如下:
i.计算阈值i∈[0,+∞),若存在最小的i使SRi>1.5,则n=min(i,3);
ii.若不存在i使SRi>1.5,则n=3;
基于选出的相似决策案例的案例类型、数据流向、案例等级和影响***与目标事件对应信息进行比较,每有一项相同则将该相似决策案例的相似度乘以相似度修正基数进行相似度修正,选择修正后的相似度最高的若干决策案例作为辅助决策依据,案例类型分为威胁响应案例、应急处置案例、标准操作流程、其他运营经验4个大类,每个大类继续细分为多个小类,仅当决策案例所属案例类型大类及小类均与目标事件相同时,对其相似度进行一次修正;数据流向仅存在威胁响应案例中,为攻击者对受害者发起攻击时的数据流向,仅当决策案例与目标事件均存在此字段,且内容完全相同时,对其相似度进行一次修正;案例等级为目标事件和决策案例根据类型、威胁等级信息赋值的事件等级,仅当决策案例与目标事件的案例等级完全相同时,对其相似度进行一次修正;目标事件产生时,判断其事件影响***,如判断失败,则通过安全运营人员设定该字段,仅当决策案例与目标事件此字段完全相同时,对其相似度进行一次修正。
2.根据权利要求1所述的一种基于案例匹配的网络安全运营辅助决策方法,其特征在于,步骤(1)中,根据各案例的名称、类型及分析信息,将案例名称或分析结果作为案例描述。
3.根据权利要求1所述的一种基于案例匹配的网络安全运营辅助决策方法,其特征在于,步骤(1)中,分词过程使用thulac遍历所有待分词目标语句,生成分词后的词序列并标注各词语词性,并将安全运营案例中所涉及的专业词汇,形成用户词典用于分词过程。
4.根据权利要求1所述的一种基于案例匹配的网络安全运营辅助决策方法,其特征在于,步骤(1)中,将分词后得到的词序列由字符串类型转化为列表类型,获得决策案例语料,集中存储构建决策案例语料库。
5.根据权利要求4所述的一种基于案例匹配的网络安全运营辅助决策方法,其特征在于,步骤(3)中,提取目标事件的事件描述,以及事件类型、数据流向、事件等级、影响***信息,并将决策案例语料库中语料进行去重处理,形成临时性的案例描述库,用于后续目标事件相似案例的提取。
6.一种实现权利要求1-5任一项所述方法的基于案例匹配的网络安全运营辅助决策***,其特征在于,该***包括决策案例语料生成模块、辅助决策模型构建模块和相似决策案例推荐模块;
所述决策案例语料生成模块用于获取网络安全运营实践的案例,并提取案例描述,进行分词和文本清洗后,生成决策案例语料;
所述辅助决策模型构建模块用于基于得到的全部决策案例语料构建训练集,训练word2vec模型得到辅助决策模型;
所述相似决策案例推荐模块将目标事件提取事件描述,根据分词处理方式进行处理后生成语料,基于辅助决策模型,计算所有决策案例语料与目标事件的事件描述间的相似度并进行排序,选取部分相似决策案例,基于选出的相似决策案例的案例类型、数据流向、案例等级和影响***与目标事件对应信息进行比较,每有一项相同则将该相似决策案例的相似度乘以相似度修正基数进行相似度修正,选择修正后的相似度最高的若干决策案例作为辅助决策依据。
7.一种基于案例匹配的网络安全运营辅助决策方法装置,包括存储器和一个或多个处理器,所述存储器中存储有可执行代码,其特征在于,所述处理器执行所述可执行代码时,实现如权利要求1-5中任一项所述的一种基于案例匹配的网络安全运营辅助决策方法。
8.一种计算机可读存储介质,其上存储有程序,其特征在于,所述程序被处理器执行时,实现如权利要求1-5中任一项所述的一种基于案例匹配的网络安全运营辅助决策方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311629837.8A CN117350288B (zh) | 2023-12-01 | 2023-12-01 | 基于案例匹配的网络安全运营辅助决策方法、***及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311629837.8A CN117350288B (zh) | 2023-12-01 | 2023-12-01 | 基于案例匹配的网络安全运营辅助决策方法、***及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117350288A CN117350288A (zh) | 2024-01-05 |
| CN117350288B true CN117350288B (zh) | 2024-05-03 |
Family
ID=89371326
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311629837.8A Active CN117350288B (zh) | 2023-12-01 | 2023-12-01 | 基于案例匹配的网络安全运营辅助决策方法、***及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117350288B (zh) |
Citations (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002011035A1 (en) * | 2000-08-01 | 2002-02-07 | Logical Images, Inc. | System and method to aid diagnoses using cross-referenced knowledge and image databases |
| CN105761155A (zh) * | 2015-08-26 | 2016-07-13 | 北京师范大学 | 一种基于历史案例的农业旱灾灾情快速评估方法 |
| CN105956151A (zh) * | 2016-05-13 | 2016-09-21 | 中国有色金属长沙勘察设计研究院有限公司 | 基于预案的辅助决策方法、尾矿库监测方法及*** |
| CN108921411A (zh) * | 2018-06-19 | 2018-11-30 | 国网湖南省电力有限公司 | 一种基于案例推理的电力事故应急辅助决策方法 |
| EP3474561A1 (en) * | 2017-10-23 | 2019-04-24 | Advanced Digital Broadcast S.A. | System and method for automatic adjustment of scheduled recording time |
| CN109947806A (zh) * | 2019-03-27 | 2019-06-28 | 江苏扬建集团有限公司 | 一种基于案例推理的超高层施工安全事故应急辅助决策方法 |
| CN111198550A (zh) * | 2020-02-22 | 2020-05-26 | 江南大学 | 基于案例推理的云端智能生产优化调度在线决策方法及*** |
| CN113011788A (zh) * | 2021-04-23 | 2021-06-22 | 集美大学 | 一种海上交通事故应急决策方法、终端设备及存储介质 |
| CN113011789A (zh) * | 2021-04-23 | 2021-06-22 | 集美大学 | 水上危化品事故应急辅助决策方法、终端设备及存储介质 |
| CN114220535A (zh) * | 2021-09-08 | 2022-03-22 | 首都医科大学附属北京中医医院 | 基于真实世界数据的外感热病辅助决策*** |
| CN114862081A (zh) * | 2021-02-04 | 2022-08-05 | 西安电子科技大学青岛计算技术研究院 | 一种基于案例推理和人工神经网络的辅助决策方法 |
| CN115577701A (zh) * | 2022-09-23 | 2023-01-06 | 刘娇平 | 针对大数据安全的风险行为识别方法、装置、设备及介质 |
| CN115660577A (zh) * | 2022-10-14 | 2023-01-31 | 上海东方明珠数字电视有限公司 | 智能化决策案例库构建提取方法及*** |
| CN115659011A (zh) * | 2022-10-14 | 2023-01-31 | 上海东方明珠数字电视有限公司 | 基于自主推荐机制的决策案例模块推荐实现方法 |
| WO2023098445A1 (zh) * | 2021-11-30 | 2023-06-08 | 国家食品安全风险评估中心 | 食品安全突发事件的应急处置推荐方法及*** |
| CN116561594A (zh) * | 2023-03-13 | 2023-08-08 | 江苏数兑科技有限公司 | 一种基于Word2vec的法律文件相似度分析方法 |
| CN116720194A (zh) * | 2023-06-14 | 2023-09-08 | 北京卓识网安技术股份有限公司 | 一种数据安全风险评估的方法和*** |
| CN116957319A (zh) * | 2023-04-07 | 2023-10-27 | 华东理工大学 | 一种馆藏文物保存环境风险防控辅助决策方法 |
| CN116976043A (zh) * | 2023-05-26 | 2023-10-31 | 南京航空航天大学 | 一种基于知识图谱的sdss电网智能辅助决策方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7974850B2 (en) * | 2003-09-26 | 2011-07-05 | Brideway Software, Inc. | Method of early case assessment in law suits |
-
2023
- 2023-12-01 CN CN202311629837.8A patent/CN117350288B/zh active Active
Patent Citations (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002011035A1 (en) * | 2000-08-01 | 2002-02-07 | Logical Images, Inc. | System and method to aid diagnoses using cross-referenced knowledge and image databases |
| CN105761155A (zh) * | 2015-08-26 | 2016-07-13 | 北京师范大学 | 一种基于历史案例的农业旱灾灾情快速评估方法 |
| CN105956151A (zh) * | 2016-05-13 | 2016-09-21 | 中国有色金属长沙勘察设计研究院有限公司 | 基于预案的辅助决策方法、尾矿库监测方法及*** |
| EP3474561A1 (en) * | 2017-10-23 | 2019-04-24 | Advanced Digital Broadcast S.A. | System and method for automatic adjustment of scheduled recording time |
| CN108921411A (zh) * | 2018-06-19 | 2018-11-30 | 国网湖南省电力有限公司 | 一种基于案例推理的电力事故应急辅助决策方法 |
| CN109947806A (zh) * | 2019-03-27 | 2019-06-28 | 江苏扬建集团有限公司 | 一种基于案例推理的超高层施工安全事故应急辅助决策方法 |
| CN111198550A (zh) * | 2020-02-22 | 2020-05-26 | 江南大学 | 基于案例推理的云端智能生产优化调度在线决策方法及*** |
| CN114862081A (zh) * | 2021-02-04 | 2022-08-05 | 西安电子科技大学青岛计算技术研究院 | 一种基于案例推理和人工神经网络的辅助决策方法 |
| CN113011789A (zh) * | 2021-04-23 | 2021-06-22 | 集美大学 | 水上危化品事故应急辅助决策方法、终端设备及存储介质 |
| CN113011788A (zh) * | 2021-04-23 | 2021-06-22 | 集美大学 | 一种海上交通事故应急决策方法、终端设备及存储介质 |
| CN114220535A (zh) * | 2021-09-08 | 2022-03-22 | 首都医科大学附属北京中医医院 | 基于真实世界数据的外感热病辅助决策*** |
| WO2023098445A1 (zh) * | 2021-11-30 | 2023-06-08 | 国家食品安全风险评估中心 | 食品安全突发事件的应急处置推荐方法及*** |
| CN115577701A (zh) * | 2022-09-23 | 2023-01-06 | 刘娇平 | 针对大数据安全的风险行为识别方法、装置、设备及介质 |
| CN115660577A (zh) * | 2022-10-14 | 2023-01-31 | 上海东方明珠数字电视有限公司 | 智能化决策案例库构建提取方法及*** |
| CN115659011A (zh) * | 2022-10-14 | 2023-01-31 | 上海东方明珠数字电视有限公司 | 基于自主推荐机制的决策案例模块推荐实现方法 |
| CN116561594A (zh) * | 2023-03-13 | 2023-08-08 | 江苏数兑科技有限公司 | 一种基于Word2vec的法律文件相似度分析方法 |
| CN116957319A (zh) * | 2023-04-07 | 2023-10-27 | 华东理工大学 | 一种馆藏文物保存环境风险防控辅助决策方法 |
| CN116976043A (zh) * | 2023-05-26 | 2023-10-31 | 南京航空航天大学 | 一种基于知识图谱的sdss电网智能辅助决策方法 |
| CN116720194A (zh) * | 2023-06-14 | 2023-09-08 | 北京卓识网安技术股份有限公司 | 一种数据安全风险评估的方法和*** |
Non-Patent Citations (4)
| Title |
|---|
| shuguang Deng等.Spatial case revision in case-based reasoning for risk assessment of geological disasters.《Geomatics Natural Hazards and Risk》.2020,第11卷(第1期),1052-1074. * |
| Yu X B等.A novel case adaptation method based on differential evolution algorithm for disaster emergency.《Applied Soft Computing》.2020,第92卷1-12. * |
| 李逍.基于贝叶斯网络和案例推理的铁路突发事件应急决策研究.《中国优秀硕士学位论文全文数据库 工程科技I辑》.2022,第2022年卷(第3期),B026-250. * |
| 闫长健等.基于博弈论的海上交通事故案例推理方法及应用.《上海海事大学学报》.2021,第42卷(第2期),75-80. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117350288A (zh) | 2024-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111310438B (zh) | 基于多粒度融合模型的中文句子语义智能匹配方法及装置 | |
| WO2020001373A1 (zh) | 一种本体构建方法及装置 | |
| EP1585030B1 (en) | Automatic Capitalization Through User Modeling | |
| CN112507699B (zh) | 一种基于图卷积网络的远程监督关系抽取方法 | |
| WO2023116561A1 (zh) | 一种实体提取方法、装置、电子设备及存储介质 | |
| CN114357190A (zh) | 一种数据检测方法、装置、电子设备及存储介质 | |
| CN114780746A (zh) | 基于知识图谱的文档检索方法及其相关设备 | |
| CN116910633B (zh) | 一种基于多模态知识混合推理的电网故障预测方法 | |
| CN112417887A (zh) | 敏感词句识别模型处理方法、及其相关设备 | |
| CN113742733A (zh) | 阅读理解漏洞事件触发词抽取和漏洞类型识别方法及装置 | |
| CN115688920A (zh) | 知识抽取方法、模型的训练方法、装置、设备和介质 | |
| CN110362828B (zh) | 网络资讯风险识别方法及*** | |
| CN117350288B (zh) | 基于案例匹配的网络安全运营辅助决策方法、***及装置 | |
| CN110633468B (zh) | 一种关于对象特征提取的信息处理方法及装置 | |
| CN116467403A (zh) | 企业身份信息数据融合方法及装置 | |
| KR101826921B1 (ko) | 기술정의문 생성장치 및 그 동작 방법 | |
| CN111125319A (zh) | 一种企业基础法律智能咨询终端、***及方法 | |
| CN113571198B (zh) | 转化率预测方法、装置、设备及存储介质 | |
| CN115858776A (zh) | 一种变体文本分类识别方法、***、存储介质和电子设备 | |
| CN114417010A (zh) | 面向实时工作流的知识图谱构建方法、装置和存储介质 | |
| US20110172991A1 (en) | Sentence extracting method, sentence extracting apparatus, and non-transitory computer readable record medium storing sentence extracting program | |
| CN114265931A (zh) | 基于大数据文本挖掘的消费者政策感知分析方法及*** | |
| CN111046181B (zh) | 一种用于自动分类法归纳的行动者—评论家方法 | |
| CN112784033B (zh) | 一种时效等级识别模型训练及应用的方法、及电子设备 | |
| CN114385779B (zh) | 一种应急调度指令执行方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |