网络安全检测方法、系统、设备及存储介质与流程

1.本发明涉及网络安全领域，具体地说，涉及网络安全检测方法、系统、设备及存储介质。


背景技术：

2.随着网络技术的快速发展，网络安全威胁事件大幅增加。企业侧部署的各种威胁检测设备，每天产生大规模网络安全告警。
3.需要说明的是，上述背景技术部分公开的信息仅用于加强对本发明的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。


技术实现要素：

4.针对现有技术中的问题，本发明的目的在于提供网络安全检测方法、系统、设备及存储介质，克服了现有技术的困难，能够带来更精确的网络安全告警结果。
5.本发明的实施例提供一种网络安全检测方法，该方法包括以下步骤：
6.在获取到用户的网络访问行为的情况下，利用告警触发规则对网络访问行为进行网络安全检测；
7.在告警触发规则对网络访问行为触发告警的情况下，获得告警触发规则输出的对网络访问行为的告警描述信息；
8.将告警描述信息输入基于分类器的告警误报识别模型，输出告警误报识别结果，告警误报识别模型是利用告警日志数据训练得到的；
9.根据告警误报识别结果对网络访问行为执行相应决策，告警误报识别结果与决策之间的对应关系是预先设置的。
10.可选地，将告警描述信息输入基于分类器的告警误报识别模型，包括：
11.在从告警描述信息中获取到触发告警的网络访问行为特征信息的情况下，将网络访问行为特征信息输入基于分类器的告警误报识别模型。
12.可选地，在将告警描述信息输入基于分类器的告警误报识别模型之前，网络安全检测方法还包括：
13.在设定时间周期内获得多条告警描述信息的情况下，根据告警描述信息提供的告警攻击类型对各告警描述信息进行聚合，得到至少一种告警攻击类型的告警描述信息；
14.将告警描述信息输入基于分类器的告警误报识别模型，包括：
15.将至少一种告警攻击类型的告警描述信息输入基于分类器的告警误报识别模型，输出目标攻击类型；
16.在告警描述信息提供的告警攻击类型与目标攻击类型一致的情况下，则输出的告警误报识别结果显示非误报；
17.在告警描述信息提供的告警攻击类型与目标攻击类型不一致的情况下，则输出的告警误报识别结果显示告警误报。
18.可选地，根据告警误报识别结果对网络访问行为执行相应决策，包括：
19.在告警误报识别结果显示非误报告警的情况下，拦截网络访问行为。
20.可选地，根据告警误报识别结果对网络访问行为执行相应决策，包括：
21.在告警误报识别结果未显示网络安全告警的情况下，对网络访问行为放行。
22.可选地，根据告警误报识别结果对网络访问行为执行相应决策，包括：
23.在告警描述信息提供的告警攻击类型与告警误报识别模型识别到的目标攻击类型不一致的情况下，拦截网络访问行为。
24.可选地，告警误报识别模型是使用如下方法训练得到的：
25.对告警日志数据抽取特征信息，所抽取的特征信息包括告警日志数据在各个告警攻击类型的联合概率和流量特征信息；
26.利用所抽取的特征信息输入基于分类器的告警误报识别模型，对告警误报识别模型进行训练。
27.本发明的实施例还提供一种网络安全检测系统，用于实现上述的网络安全检测方法，网络安全检测系统包括：
28.网络安全检测模块，在获取到用户的网络访问行为的情况下，利用告警触发规则对网络访问行为进行网络安全检测；
29.告警模块，在告警触发规则对网络访问行为触发告警的情况下，获得告警触发规则输出的对网络访问行为的告警描述信息；
30.告警误报识别模块，将告警描述信息输入基于分类器的告警误报识别模型，输出告警误报识别结果，告警误报识别模型是利用告警日志数据训练得到的；
31.决策执行模块，根据告警误报识别结果对网络访问行为执行相应决策，告警误报识别结果与决策之间的对应关系是预先设置的。
32.本发明的实施例还提供一种网络安全检测设备，包括：
33.处理器；
34.存储器，其中存储有处理器的可执行指令；
35.其中，处理器配置为经由执行可执行指令来执行上述网络安全检测方法的步骤。
36.本发明的实施例还提供一种计算机可读存储介质，用于存储程序，程序被执行时实现上述网络安全检测方法的步骤。
37.本发明的目的在于提供网络安全检测方法、系统、设备及存储介质，能够通过在获取到用户的网络访问行为的情况下，利用告警触发规则对网络访问行为进行网络安全检测，在告警触发规则对网络访问行为触发告警的情况下，获得告警触发规则输出的对网络访问行为的告警描述信息，将告警描述信息输入基于分类器的告警误报识别模型，输出告警误报识别结果，告警误报识别模型是利用告警日志数据训练得到的，根据告警误报识别结果对网络访问行为执行相应决策，告警误报识别结果与决策之间的对应关系是预先设置的。
38.本发明实施例在获得告警触发规则所触发网络安全告警的情况下，采用基于分类器的告警误报识别模型对网络安全告警进行再次误报识别，并根据误报识别结果执行决策。机器学习技术能够补偿告警触发规则的局限性，提升网络安全告警和决策的准确度。
附图说明
39.通过阅读参照以下附图对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显。
40.图1是本发明实施例提供的网络安全检测方法的流程图之一；
41.图2是本发明实施例提供的网络安全检测方法的流程图之二；
42.图3是本发明实施例提供的网络安全检测方法的流程图之三；
43.图4是本发明实施例提供的网络安全检测方法的流程图之四；
44.图5是本发明实施例提供的网络安全检测方法的流程图之五；
45.图6是本发明实施例提供的网络安全检测系统的模块示意图之一；
46.图7是本发明实施例提供的网络安全检测系统的模块示意图之二；
47.图8是本发明实施例的网络安全检测系统运行的示意图。
具体实施方式
48.现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的实施方式。相反，提供这些实施方式使本发明全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。
49.附图仅为本发明的示意性图解，并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体，不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体，或在一个或多个硬件转发模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
50.此外，附图中所示的流程仅是示例性说明，不是必须包括所有的步骤。例如，有的步骤可以分解，有的步骤可以合并或部分合并，且实际执行的顺序有可能根据实际情况改变。具体描述时使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。需要说明的是，在不冲突的情况下，本发明的实施例及不同实施例中的特征可以相互组合。
51.本发明人注意到，现有技术在安全设备部署告警触发规则，采用人为设定的告警触发规则进行网络安全检测，并对网络攻击行为触发告警。在实践中，通过对触发告警的大量网络攻击行为进行分析，确定流量特征信息，并根据流量特征信息构建告警触发规则，则一旦告警触发规则识别到相同的流量特征，就会触发告警。
52.但是，发明人注意到，采用告警触发规则进行网络安全检测，出现了网络安全告警误报的问题。产生这个问题的原因是人工挖掘攻击特征信息的局限性，因此，如何提升网络安全告警的精确度，是本发明实施例所要考虑的课题。
53.本发明实施例提出，对告警触发规则所触发网络安全告警，利用告警误报识别模型对告警描述信息进行再次检测，输出告警误报识别结果，并基于该告警误报识别结果执行相应决策。其中告警误报识别模型是基于机器学习分类器实现的，并利用告警日志数据进行训练得到的。
54.机器学习(machine learning，简称：ml)是一门人工智能的科学，属于计算科学领域，专门分析和解释数据的模式及结构，以实现无需人工交互即可完成学习、推理和决策等
行为的目的。
55.本发明实施例将机器学习技术应用于网络安全告警的误报识别领域，基于分类器的机器学习模型通过大量告警日志数据学习各类网络攻击行为的特征信息，能够更全面地学习各特征对于网络安全告警的贡献度，以及特征之间的关联性。机器学习技术能够突破人本身的认知局限，这样，通过对网络安全告警的进一步检测，能够更精确地进行网络安全检测。
56.因此，在网络安全检测技术领域，采用基于机器学习分类器进行网络安全告警的误报识别，能够带来意料不到的技术效果。
57.图1为本发明实施例提供的网络安全检测方法的流程图，本方法的执行主体可以是网络安全设备，具体可以是物理设备或虚拟机。如图1所示，本方法包括如下步骤：
58.步骤110：在获取到用户的网络访问行为的情况下，利用告警触发规则对网络访问行为进行网络安全检测；
59.步骤120：在告警触发规则对网络访问行为触发告警的情况下，获得告警触发规则输出的对网络访问行为的告警描述信息；
60.步骤130：将告警描述信息输入基于分类器的告警误报识别模型，输出告警误报识别结果，告警误报识别模型是利用告警日志数据训练得到的；
61.步骤140：根据告警误报识别结果对网络访问行为执行相应决策，告警误报识别结果与决策之间的对应关系是预先设置的。
62.在本发明实施例中，告警触发规则是根据人为设定的规则对网络访问行为进行网络安全检测。
63.告警描述信息用于对网络访问行为触发告警的判定过程进行描述，可以包括网络访问行为信息、触发告警的网络访问行为的特征信息、及触发告警的条件信息等，在此不做具体限定。
64.在本发明实施例中，在获得告警触发规则所触发网络安全告警的情况下，采用基于分类器的告警误报识别模型对网络安全告警进行再次误报识别，并根据误报识别结果执行决策。机器学习技术能够补偿告警触发规则的局限性，提升网络安全告警和决策的准确度。
65.在本发明实施例中，告警误报识别模型事先使用告警日志数据训练得到，告警日志数据是在一定历史时期内检测到的网络安全告警集。这样，参考图2，告警误报识别模型可以是使用如下方法训练得到的：
66.步骤210：对告警日志数据抽取特征信息，所抽取的特征信息包括告警日志数据在各个告警攻击类型的联合概率分布和流量特征信息；
67.步骤220：利用所抽取的特征信息输入基于分类器的告警误报识别模型，对告警误报识别模型进行训练。
68.在本发明实施例中，所谓联合概率是将告警日志数据输入到朴素贝叶斯模型，并由朴素贝叶斯模型输出的各个告警日志数据在各个告警攻击类型上的联合概率。
69.而流量特征信息包括网络层和应用层流量特征，应用层流量特征例如http协议，包括请求统计信息、响应统计信息、url统计特征等，在此不做限定。
70.在本发明实施例中，参考图3，告警误报识别模型的训练过程包括如下步骤：
71.构建数据训练集。可以从数据库及公开渠道获取正常流量和恶意攻击流量样本构建数据集，这包括网络层信息和应用层信息。其中网络层信息包括ip信息、端口信息等，在此不再详述。其中应用层信息包括http请求、响应、统一资源定位符url(英語：uniform resource locator)等。
72.对所构建的数据集抽取特征，这主要包括：
73.n-gram抽取，将告警日志数据输入朴素贝叶斯，计算数据集在各个告警攻击类型的联合概率分布；
74.流量特征抽取，这些流量特征包含网络层和应用层流量特征，应用层流量特征例如http协议，包括请求统计信息、响应统计信息、url统计特征等等，在此不做限定。
75.将上述联合概率分布和流量特征输入到分类器，训练得到告警误报识别模型。
76.其中，分类器可以是支持向量机，因其英文名为support vector machine，故一般简称svm，通俗来讲，它是一种二类分类模型，其基本模型定义为特征空间上的间隔最大的线性分类器，其学习策略便是间隔最大化，最终可转化为一个凸二次规划问题的求解。
77.另外，分类器还可以选择逻辑回归、随机森林、朴素贝叶斯、神经网络等，在此不做具体限定。
78.在本发明实施例中，告警攻击类型包括sql注入攻击或跨站脚本攻击(cross-site scripting)等，在此不做具体限定。
79.sql注入攻击是发生于应用程序与数据库层的安全漏洞。简而言之，是在输入的字符串之中注入sql指令，在设计不良的程序当中忽略了字符检查，那么这些注入进去的恶意指令就会被数据库服务器误认为是正常的sql指令而运行，因此遭到破坏或是入侵。
80.跨站脚本攻击简称xss，是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本，使之在用户的浏览器上运行。利用这些恶意脚本，攻击者可获取用户的敏感信息如cookie、session id等，进而危害数据安全。
81.其中，数据集中的恶意流量样本可以认为是网络安全告警产生的告警日志数据。
82.在本发明实施例中，训练好的告警误报识别模型能够用于网络安全告警的误报识别，具体可参考上文图1所示各步骤。
83.在用户授权的情况下，网络安全设备监测用户的网络访问行为，并利用部署的告警触发规则进行网络安全检测。
84.在本发明实施例中，告警描述信息是告警误报识别模型的输入。告警描述信息包括ip端口四元组，如源ip地址、目的ip地址、源端口port及目的端口port，触发告警的特征等。
85.在本发明实施例中，还可以是，在输入之前，从告警描述信息中提取触发告警的网络访问行为的特征信息，并在从告警描述信息中获取到触发告警的网络访问行为特征信息的情况下，将网络访问行为特征信息输入基于分类器的告警误报识别模型。
86.这使得告警误报识别模型更聚集到告警触发规则触发告警的具体特征，能够更精准地识别误报。
87.在本发明可选实施例中，参考图4，网络安全检测方法具体包括如下步骤：
88.步骤410：在获取到用户的网络访问行为的情况下，利用告警触发规则对网络访问行为进行网络安全检测；
89.步骤420：在告警触发规则对网络访问行为触发告警的情况下，获得告警触发规则输出的对网络访问行为的告警描述信息；
90.步骤430：在设定时间周期内获得多条告警描述信息的情况下，根据告警描述信息提供的告警攻击类型对各告警描述信息进行聚合，得到至少一种告警攻击类型的告警描述信息；
91.步骤440：将至少一种告警攻击类型的告警描述信息输入基于分类器的告警误报识别模型，输出目标攻击类型；
92.步骤450：在告警描述信息提供的告警攻击类型与目标攻击类型一致的情况下，则输出的告警误报识别结果显示非误报；
93.步骤460：在告警描述信息提供的告警攻击类型与目标攻击类型不一致的情况下，则输出的告警误报识别结果显示告警误报；
94.步骤470：根据告警误报识别结果对网络访问行为执行相应决策，告警误报识别结果与决策之间的对应关系是预先设置的。
95.在本发明实施例中，告警误报识别模型是基于分类器实现的，因此实际上可以根据告警描述信息进行告警分类。
96.使用本发明实施例，在很短时间周期内会产生大量网络安全告警，因此可以收集起来做告警误报识别，提升数据处理效率。
97.在本发明实施例中，也可以不事先对告警描述信息进行聚合。
98.在本发明实施例中，网络安全设备执行的决策跟告警误报识别结果有关，两者之间的对应关系是预先设置的。
99.在一种场景中，在告警误报识别结果显示非误报告警的情况下，拦截该网络访问行为，从而及时避免攻击损害。
100.在另一种场景中，在告警误报识别结果未显示网络安全告警的情况下，对网络访问行为放行。在这种情况下，确认当前的网络访问行为并非攻击行为，因此可对网络访问行为放行。
101.在另一种场景中，在告警描述信息提供的告警攻击类型与告警误报识别模型识别到的目标攻击类型不一致的情况下，拦截网络访问行为。
102.在这种情况下，确认当前的网络访问行为为攻击行为，虽然前后两次检测到的攻击行为不同，但仍然对网络访问行为进行拦截。
103.参考图5，本发明可选实施例提供的网络安全检测方法具体包括如下步骤：
104.获取网络安全告警数据，每一条网络安全告警数据可以包括告警触发规则的标识id、攻击判定结果、ip端口四元组、告警描述信息、触发告警的特征如url；
105.基于告警攻击类型聚合上述网络安全告警数据，得到基于告警攻击类型分类的多组网络安全告警数据，告警攻击类型如xss、sql注入等；
106.从各组网络安全告警数据提取告警特征信息；
107.将告警特征信息输入基于分类器的告警误报识别模型，输出目标攻击类型；
108.将告警攻击类型与目标攻击类型进行比较；
109.若不一致，则对网络访问行为进行过滤；
110.若一致，则告警。
111.图6是本发明的网络安全检测系统的一种实施例的模块示意图。本发明的网络安全检测系统，如图6所示，包括但不限于：
112.网络安全检测模块610，在获取到用户的网络访问行为的情况下，利用告警触发规则对网络访问行为进行网络安全检测；
113.告警模块620，在告警触发规则对网络访问行为触发告警的情况下，获得告警触发规则输出的对网络访问行为的告警描述信息；
114.告警误报识别模块630，将告警描述信息输入基于分类器的告警误报识别模型，输出告警误报识别结果，告警误报识别模型是利用告警日志数据训练得到的；
115.决策执行模块640，根据告警误报识别结果对网络访问行为执行相应决策，告警误报识别结果与决策之间的对应关系是预先设置的。
116.在本发明实施例中，在获得告警触发规则所触发网络安全告警的情况下，采用基于分类器的告警误报识别模型对网络安全告警进行再次误报识别，并根据误报识别结果执行决策。机器学习技术能够补偿告警触发规则的局限性，提升网络安全告警和决策的准确度。
117.可选地，告警误报识别模块630具体用于：
118.在从告警描述信息中获取到触发告警的网络访问行为特征信息的情况下，将网络访问行为特征信息输入基于分类器的告警误报识别模型。
119.可选地，决策执行模块640具体用于：
120.在告警误报识别结果显示非误报告警的情况下，拦截网络访问行为。
121.可选地，决策执行模块640具体用于：
122.在告警误报识别结果未显示网络安全告警的情况下，对网络访问行为放行。
123.可选地，决策执行模块640具体用于：
124.在告警描述信息提供的告警攻击类型与告警误报识别模型识别到的目标攻击类型不一致的情况下，拦截网络访问行为。
125.可选地，与图6相比，图7所示网络安全检测系统还包括：
126.聚合模块710，在将告警描述信息输入基于分类器的告警误报识别模型之前，在设定时间周期内获得多条告警描述信息的情况下，根据告警描述信息提供的告警攻击类型对各告警描述信息进行聚合，得到至少一种告警攻击类型的告警描述信息；
127.告警误报识别模块720具体用于：
128.将至少一种告警攻击类型的告警描述信息输入基于分类器的告警误报识别模型，输出目标攻击类型；
129.在告警描述信息提供的告警攻击类型与目标攻击类型一致的情况下，则输出的告警误报识别结果显示非误报；
130.在告警描述信息提供的告警攻击类型与目标攻击类型不一致的情况下，则输出的告警误报识别结果显示告警误报。
131.可选地，告警误报识别模型是使用如下方法训练得到的：
132.对告警日志数据抽取特征信息，所抽取的特征信息包括告警日志数据在各个告警攻击类型的联合概率和流量特征信息；
133.利用所抽取的特征信息输入基于分类器的告警误报识别模型，对告警误报识别模
型进行训练。
134.本发明实施例还提供一种网络安全检测设备，包括处理器。存储器，其中存储有处理器的可执行指令。其中，处理器配置为经由执行可执行指令来执行的网络安全检测方法的步骤。
135.如上所示，本发明实施例在获得告警触发规则所触发网络安全告警的情况下，采用基于分类器的告警误报识别模型对网络安全告警进行再次误报识别，并根据误报识别结果执行决策。机器学习技术能够补偿告警触发规则的局限性，提升网络安全告警和决策的准确度。
136.所属技术领域的技术人员能够理解，本发明的各个方面可以实现为系统、方法或程序产品。因此，本发明的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“平台”。
137.图8是本发明的对网络安全告警的误报识别设备的结构示意图。下面参照图8来描述根据本发明的这种实施方式的电子设备800。图8显示的电子设备800仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。
138.如图8所示，电子设备800以通用计算设备的形式表现。电子设备800的组件可以包括但不限于：至少一个处理单元810、至少一个存储单元820、连接不同平台组件(包括存储单元820和处理单元810)的总线830、显示单元840等。
139.其中，存储单元存储有程序代码，程序代码可以被处理单元810执行，使得处理单元810执行本说明书上述电子处方流转处理方法部分中描述的根据本发明各种示例性实施方式的步骤。例如，处理单元810可以执行如图1-图5中所示的步骤。
140.存储单元820可以包括易失性存储单元形式的可读介质，例如随机存取存储单元(ram)821和/或高速缓存存储单元822，还可以进一步包括只读存储单元(rom)823。
141.存储单元820还可以包括具有一组(至少一个)程序模块825的程序/实用工具824，这样的程序模块825包括但不限于：处理系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。
142.总线830可以为表示几类总线结构中的一种或多种，包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
143.电子设备800也可以与一个或多个外部设备900(例如键盘、指向设备、蓝牙设备等)通信，还可与一个或者多个使得用户能与该电子设备800交互的设备通信，和/或与使得该电子设备800能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口850进行。并且，电子设备800还可以通过网络适配器860与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。网络适配器860可以通过总线830与电子设备800的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备800使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储平台等。
144.本发明实施例还提供一种计算机可读存储介质，用于存储程序，程序被执行时实
现的网络安全检测方法的步骤。在一些可能的实施方式中，本发明的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当程序产品在终端设备上运行时，程序代码用于使终端设备执行本说明书上述网络安全检测方法部分中描述的根据本发明各种示例性实施方式的步骤。
145.如上所示，本发明实施例的网络安全检测系统在获得告警触发规则所触发网络安全告警的情况下，采用基于分类器的告警误报识别模型对网络安全告警进行再次误报识别，并根据误报识别结果执行决策。机器学习技术能够补偿告警触发规则的局限性，提升网络安全告警和决策的准确度。
146.根据本发明的实施方式的用于实现上述方法的程序产品，其可以采用便携式紧凑盘只读存储器(cd-rom)并包括程序代码，并可以在终端设备，例如个人电脑上运行。然而，本发明的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
147.程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。
148.计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、rf等等，或者上述的任意合适的组合。
149.可以以一种或多种程序设计语言的任意组合来编写用于执行本发明处理的程序代码，程序设计语言包括面向对象的程序设计语言—诸如java、c 等，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(lan)或广域网(wan)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
150.综上，本发明的目的在于提供网络安全检测方法、系统、设备及存储介质，能够在获得告警触发规则所触发网络安全告警的情况下，采用基于分类器的告警误报识别模型对网络安全告警进行再次误报识别，并根据误报识别结果执行决策。机器学习技术能够补偿告警触发规则的局限性，提升网络安全告警和决策的准确度。
151.以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本发明的
保护范围。