安全系统报警等级确定方法、装置及电子设备与流程

1.本技术涉及网络安全技术领域，具体而言，涉及一种安全系统报警等级确定方法、装置及电子设备。


背景技术：

2.安全防护系统每天会产生大量的报警日志，某些报警等级较高的报警信息比较容易获得关注被及时处理。但是，某些报警等级较低的报警信息可能不被重视，而这些细小的漏洞可能相互影响相互组合最终巨大的安全漏洞，如何从海量安全日志中找到这些问题称为亟待解决的问题。


技术实现要素：

3.为了克服现有技术中的上述不足，第一方面本技术提供一种安全系统报警等级确定方法，包括：获取安全防护系统多日的报警日志，并获取每一日的所述报警日志中的每一个应用程序的报警信息，其中，每一个所述报警信息中包括多个安全识别项；根据每一日的报警日志中的同一个应用程序的安全识别项，确定所述安全防护系统的应用安全报警特征，其中，所述应用安全报警特征用于指示每一个应用程序的特征；根据每一日的报警日志中的每一个应用程序的安全识别项，确定所述安全防护系统的安全识别项报警特征，其中，所述安全识别项报警特征用于指示不同的应用程序所构成的特征；对所述应用安全报警特征和所述安全识别项报警特征进行处理，得到所述安全防护系统的安全报警等级分类结果。
4.可选地，根据每一日的报警日志中的同一个应用程序的安全识别项，确定所述安全防护系统的应用安全报警特征，包括：将同一日的报警日志中的同一个应用程序的各安全识别项进行关联，得到同一日的报警日志中的同一个应用程序的当日报警信息特征信息；将各日的报警日志中的同一个应用程序的相同性质的安全识别项进行关联，得到同一个应用程序的应用程序报警时序特征信息；将每一日的报警日志中的同一个应用程序的当日报警信息特征信息和每一个应用程序的应用程序报警时序特征信息进行整合，得到所述安全防护系统的应用安全报警特征，其中，所述应用安全报警特征包括安全识别项的安全识别项特征、所述当日报警信息特征信息、以及所述应用程序报警时序特征信息。
5.可选地，所述将每一日的报警日志中的同一个应用程序的当日报警信息特征信息和每一个应用程序的应用程序报警时序特征信息进行整合，得到所述安全防护系统的应用安全报警特征，包括：根据每一个应用程序的当日报警信息特征信息和每一个应用程序的应用程序报
警时序特征信息，得到每一个应用程序的特征向量信息，其中，每一个应用程序的特征向量信息中包括应用程序的安全识别项的安全识别项特征、各个第一关联关系、各个第二关联关系，所述各个第一关联关系为同一日的报警日志中的同一个应用程序的各安全识别项进行关联所得到关联关系，所述各个第二关联关系为各日的报警日志中的同一个应用程序的相同性质的安全识别项进行关联所得到关联关系；将每一个应用程序的特征向量信息输入至预设的机器学习模型中，得到每一个应用程序在设定层级上的特征；将各个应用程序在设定层级上的特征，输入至所述机器学习模型中，得到所述安全防护系统的应用安全报警特征。
6.可选地，根据每一日的报警日志中的每一个应用程序的安全识别项，确定所述安全防护系统的安全识别项报警特征，包括：将同一日的报警日志中的每一个应用程序的相同性质的安全识别项进行关联，得到同一日的报警日志的应用程序报警时序特征信息；将每一日的报警日志中的同一个应用程序的当日报警信息特征信息、每一个应用程序的应用程序报警时序特征信息、以及每一日的报警日志的应用程序报警时序特征信息进行整合，得到所述安全防护系统的安全识别项报警特征，其中，所述安全识别项报警特征中包括安全识别项的安全识别项特征、所述当日报警信息特征信息、所述应用程序报警时序特征信息、以及所述应用程序报警时序特征信息。
7.可选地，所述将每一日的报警日志中的同一个应用程序的当日报警信息特征信息、每一个应用程序的应用程序报警时序特征信息、以及每一日的报警日志的应用程序报警时序特征信息进行整合，得到所述安全防护系统的安全识别项报警特征，包括：根据每一日的报警日志中的同一个应用程序的当日报警信息特征信息、每一个应用程序的应用程序报警时序特征信息、以及每一日的报警日志的应用程序报警时序特征信息，得到所述安全防护系统的特征向量信息，其中，所述安全防护系统的特征向量信息中包括应用程序的安全识别项的安全识别项特征、各个第一关联关系、各个第二关联关系、各个第三关联关系，所述各个第一关联关系为同一日的报警日志中的同一个应用程序的各安全识别项进行关联所得到边，所述各个第二关联关系为各日的报警日志中的同一个应用程序的相同性质的安全识别项进行关联所得到边，所述各个第三关联关系为同一日的报警日志中的每一个应用程序的相同性质的安全识别项进行关联所得到边；将所述安全防护系统的特征向量信息输入至预设的机器学习模型中，得到所述安全防护系统的安全识别项报警特征。
8.可选地，在所述根据每一日的报警日志中的同一个应用程序的安全识别项，确定所述安全防护系统的应用安全报警特征之前，还包括：获取相邻两日的报警日志中前一日的报警日志的同一个安全识别项、与后一日的报警日志的每一个安全识别项之间的变化信息；确定相邻两日的报警日志中前一日的报警日志的同一个安全识别项、后一日的报警日志中变化信息最小的安全识别项，两者属于同一应用程序。
9.可选地，对所述应用安全报警特征和所述安全识别项报警特征进行处理，得到所述安全防护系统的安全报警等级分类结果，包括：
将所述应用安全报警特征和所述安全识别项报警特征进行拼接处理，得到拼接后的特征信息；将所述拼接后的特征信息输入至预设的类型识别模型中，得到所述安全防护系统属于每一个预设安全报警等级分类结果的概率值；确定概率值最大的预设安全报警等级分类结果，为所述安全防护系统的安全报警等级分类结果。
10.第二方面，本技术还提供一种安全系统报警等级确定装置，包括：数据获取模块，用于获取安全防护系统多日的报警日志，并获取每一日的所述报警日志中的每一个应用程序的报警信息，其中，每一个所述报警信息中包括多个安全识别项；第一特征提取模块，用于根据每一日的报警日志中的同一个应用程序的安全识别项，确定所述安全防护系统的应用安全报警特征，其中，所述应用安全报警特征用于指示每一个应用程序的特征；第二特征提取模块，用于根据每一日的报警日志中的每一个应用程序的安全识别项，确定所述安全防护系统的安全识别项报警特征，其中，所述安全识别项报警特征用于指示不同的应用程序所构成的特征；报警等级分类模块，用于对所述应用安全报警特征和所述安全识别项报警特征进行处理，得到所述安全防护系统的安全报警等级分类结果。
11.第三方面，本技术还提供一种电子设备，包括处理器及机器可读存储介质，所述机器可读存储介质存储有机器可执行指令，所述机器可执行指令在被所述处理器执行时，实现本技术提供的安全系统报警等级确定方法。
12.第四方面，本技术还提供一种机器可读存储介质，其特征在于，所述机器可读存储介质存储有机器可执行指令，所述机器可执行指令在被一个或多个处理器执行时，实现本技术提供的安全系统报警等级确定方法。
13.相对于现有技术而言，本技术具有以下有益效果：本技术提供一种安全系统报警等级确定方法、装置及电子设备，通过在对安全防护系统的报警日志进行特征提取的时候，可以得到每一个应用程序的特征、各个应用程序之间的特征、各个应用程序之间的关系，从而可以依据上述特征准确地确定出安全防护系统的安全报警等级分类结果。
附图说明
14.为了更清楚地说明本技术实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
15.图1为本技术实施例提供的安全系统报警等级确定方法的示意图；图2为本技术实施例提供的电子设备的示意图；图3为本技术实施例提供的安全系统报警等级确定装置的示意图。
具体实施方式
16.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本技术实施例的组件可以以各种不同的配置来布置和设计。
17.请参照图1，图1本实施例提供的一种安全系统报警等级确定方法的流程图，以下将对所述方法包括各个步骤进行详细阐述。
18.步骤s1，获取安全防护系统多日的报警日志，并获取每一日的所述报警日志中的每一个应用程序的报警信息，其中，每一个所述报警信息中包括多个安全识别项；步骤s2，根据每一日的报警日志中的同一个应用程序的安全识别项，确定所述安全防护系统的应用安全报警特征，其中，所述应用安全报警特征用于指示每一个应用程序的特征；步骤s3，根据每一日的报警日志中的每一个应用程序的安全识别项，确定所述安全防护系统的安全识别项报警特征，其中，所述安全识别项报警特征用于指示不同的应用程序所构成的特征；步骤s4，对所述应用安全报警特征和所述安全识别项报警特征进行处理，得到所述安全防护系统的安全报警等级分类结果。
19.本技术提供一种安全系统报警等级确定方法，通过在对安全防护系统的报警日志进行特征提取的时候，可以得到每一个应用程序的特征、各个应用程序之间的特征、各个应用程序之间的关系，从而可以依据上述特征准确地确定出安全防护系统的安全报警等级分类结果。
20.可选地，步骤s2中，根据每一日的报警日志中的同一个应用程序的安全识别项，确定所述安全防护系统的应用安全报警特征的动作，包括：步骤s201，将同一日的报警日志中的同一个应用程序的各安全识别项进行关联，得到同一日的报警日志中的同一个应用程序的当日报警信息特征信息；步骤s202，将各日的报警日志中的同一个应用程序的相同性质的安全识别项进行关联，得到同一个应用程序的应用程序报警时序特征信息；步骤s203，将每一日的报警日志中的同一个应用程序的当日报警信息特征信息和每一个应用程序的应用程序报警时序特征信息进行整合，得到所述安全防护系统的应用安全报警特征，其中，所述应用安全报警特征包括安全识别项的安全识别项特征、所述当日报警信息特征信息、以及所述应用程序报警时序特征信息。
21.可选地，步骤s203中，将每一日的报警日志中的同一个应用程序的当日报警信息特征信息和每一个应用程序的应用程序报警时序特征信息进行整合，得到所述安全防护系统的应用安全报警特征的动作，包括：步骤s2031，根据每一个应用程序的当日报警信息特征信息和每一个应用程序的应用程序报警时序特征信息，得到每一个应用程序的特征向量信息，其中，每一个应用程序的特征向量信息中包括应用程序的安全识别项的安全识别项特征、各个第一关联关系、各个第二关联关系，所述各个第一关联关系为同一日的报警日志中的同一个应用程序的各安全识别项进行关联所得到关联关系，所述各个第二关联关系为各日的报警日志中的同一个
应用程序的相同性质的安全识别项进行关联所得到关联关系；步骤s2032，将每一个应用程序的特征向量信息输入至预设的机器学习模型中，得到每一个应用程序在设定层级上的特征；步骤s2033，将各个应用程序在设定层级上的特征，输入至所述机器学习模型中，得到所述安全防护系统的应用安全报警特征。
22.可选地，步骤s2中，根据每一日的报警日志中的每一个应用程序的安全识别项，确定所述安全防护系统的安全识别项报警特征，包括：步骤s221，将同一日的报警日志中的每一个应用程序的相同性质的安全识别项进行关联，得到同一日的报警日志的应用程序报警时序特征信息；步骤s222，将每一日的报警日志中的同一个应用程序的当日报警信息特征信息、每一个应用程序的应用程序报警时序特征信息、以及每一日的报警日志的应用程序报警时序特征信息进行整合，得到所述安全防护系统的安全识别项报警特征，其中，所述安全识别项报警特征中包括安全识别项的安全识别项特征、所述当日报警信息特征信息、所述应用程序报警时序特征信息、以及所述应用程序报警时序特征信息。
23.可选地，步骤s222中，将每一日的报警日志中的同一个应用程序的当日报警信息特征信息、每一个应用程序的应用程序报警时序特征信息、以及每一日的报警日志的应用程序报警时序特征信息进行整合，得到所述安全防护系统的安全识别项报警特征的动作，包括：步骤s2221，根据每一日的报警日志中的同一个应用程序的当日报警信息特征信息、每一个应用程序的应用程序报警时序特征信息、以及每一日的报警日志的应用程序报警时序特征信息，得到所述安全防护系统的特征向量信息，其中，所述安全防护系统的特征向量信息中包括应用程序的安全识别项的安全识别项特征、各个第一关联关系、各个第二关联关系、各个第三关联关系，所述各个第一关联关系为同一日的报警日志中的同一个应用程序的各安全识别项进行关联所得到边，所述各个第二关联关系为各日的报警日志中的同一个应用程序的相同性质的安全识别项进行关联所得到边，所述各个第三关联关系为同一日的报警日志中的每一个应用程序的相同性质的安全识别项进行关联所得到边；步骤s2222，将所述安全防护系统的特征向量信息输入至预设的机器学习模型中，得到所述安全防护系统的安全识别项报警特征。
24.可选地，在步骤s2之前，所述方法还包括：步骤s101，获取相邻两日的报警日志中前一日的报警日志的同一个安全识别项、与后一日的报警日志的每一个安全识别项之间的变化信息；步骤s102，确定相邻两日的报警日志中前一日的报警日志的同一个安全识别项、后一日的报警日志中变化信息最小的安全识别项，两者属于同一应用程序。
25.可选地，步骤s4，对所述应用安全报警特征和所述安全识别项报警特征进行处理，得到所述安全防护系统的安全报警等级分类结果的动作，包括：步骤s41，将所述应用安全报警特征和所述安全识别项报警特征进行拼接处理，得到拼接后的特征信息；步骤s42，将所述拼接后的特征信息输入至预设的类型识别模型中，得到所述安全防护系统属于每一个预设安全报警等级分类结果的概率值；
步骤s43，确定概率值最大的预设安全报警等级分类结果，为所述安全防护系统的安全报警等级分类结果。
26.请参照图2，图2为本实施例提供的一种电子设备100的硬件结构示意图。该电子设备100可包括处理器930及机器可读存储介质920。处理器930与机器可读存储介质920可经由系统总线通信。并且，机器可读存储介质920存储有机器可执行指令，通过读取并执行机器可读存储介质920中与安全系统报警等级确定逻辑对应的机器可执行指令，处理器930可执行上文描述的安全系统报警等级确定方法。
27.本文中提到的机器可读存储介质920可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，机器可读存储介质可以是：ram（radom access memory，随机存取存储器）、易失存储器、非易失性存储器、闪存、存储驱动器（如硬盘驱动器）、固态硬盘、任何类型的存储盘（如光盘、dvd等），或者类似的存储介质，或者它们的组合。
28.请参照图3，本实施例还提供一种安全系统报警等级确定装置91，安全系统报警等级确定装置91包括至少一个可以软件形式存储于机器可读存储介质920中的功能模块。从功能上划分，安全系统报警等级确定装置91可以包括数据获取模块911、第一特征提取模块912、第二特征提取模块913及报警等级分类模块914。
29.数据获取模块911，用于获取安全防护系统多日的报警日志，并获取每一日的所述报警日志中的每一个应用程序的报警信息，其中，每一个所述报警信息中包括多个安全识别项；第一特征提取模块912，用于根据每一日的报警日志中的同一个应用程序的安全识别项，确定所述安全防护系统的应用安全报警特征，其中，所述应用安全报警特征用于指示每一个应用程序的特征；第二特征提取模块913，用于根据每一日的报警日志中的每一个应用程序的安全识别项，确定所述安全防护系统的安全识别项报警特征，其中，所述安全识别项报警特征用于指示不同的应用程序所构成的特征；报警等级分类模块914，用于对所述应用安全报警特征和所述安全识别项报警特征进行处理，得到所述安全防护系统的安全报警等级分类结果。
30.综上所述，本技术提供一种安全系统报警等级确定方法、装置及电子设备，通过在对安全防护系统的报警日志进行特征提取的时候，可以得到每一个应用程序的特征、各个应用程序之间的特征、各个应用程序之间的关系，从而可以依据上述特征准确地确定出安全防护系统的安全报警等级分类结果。
31.以上所述，仅为本技术的各种实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应所述以权利要求的保护范围为准。