(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111419696.8 (22)申请日 2021.11.26 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融大街31号 (72)发明人 陈茂飞　刘东鑫　田云帆　史国水　 汪来富　 (74)专利代理 机构 北京律智知识产权代理有限 公司 11438 代理人 孙宝海　袁礼君 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/0631(2022.01) G06K 9/62(2022.01) (54)发明名称 网络安全检测方法、 系统、 设备及存 储介质 (57)摘要 本发明提供了网络安全检测方法、 系统、 设 备及存储介质。 本发明能够通过利用告警触发规 则对网络访问行为进行网络安全检测， 获得告警 触发规则输出的对网络访问行为的告警描述信 息， 将告警描述信息输入基于分类器的告警误报 识别模型， 根据告警误报识别结果对网络访问行 为执行相应决策， 告警误报识别结果与决策之间 的对应关系是预先设置的。 本发 明在获得告警触 发规则所触发网络安全告警的情况下， 采用基于 分类器的告警误报识别模型对网络安全告警进 行再次误报识别， 并根据误报识别结果执行决 策。 机器学习技术能够补偿告警触发规则的局限 性， 提升网络安全 告警和决策的准确度。 权利要求书2页 说明书10页 附图6页 CN 114070642 A 2022.02.18 CN 114070642 A 1.一种网络安全检测方法， 其特 征在于， 包括： 在获取到用户的网络访问行为的情况下， 利用告警触发规则对所述网络访问行为进行 网络安全检测； 在所述告警触发规则对所述网络访问行为触发告警的情况下， 获得所述告警触发规则 输出的对所述网络访问行为的告警描述信息； 将所述告警描述信息输入基于分类器的告警误报识别模型， 输出告警误报识别结果， 所述告警误报识别模型 是利用告警日志数据训练得到的； 根据所述告警误报识别结果对所述网络访问行为执行相应决策， 所述告警误报识别结 果与所述决策之间的对应关系是 预先设置的。 2.根据权利要求1所述的网络安全检测方法， 其特征在于， 将所述告警描述信 息输入基 于分类器的告警误报识别模型， 包括： 在从所述告警描述信 息中获取到触发告警的网络访问行为特征信 息的情况下， 将所述 网络访问行为特 征信息输入基于分类 器的告警误报识别模型。 3.根据权利要求1所述的网络安全检测方法， 其特征在于， 在将所述告警描述信 息输入 基于分类 器的告警误报识别模型之前， 所述网络安全检测方法还 包括： 在设定时间周期内获得多条告警描述信 息的情况下， 根据 所述告警描述信 息提供的告 警攻击类型对各告警描述信息进行聚合， 得到 至少一种告警攻击类型的告警描述信息； 将所述告警描述信息 输入基于分类 器的告警误报识别模型， 包括： 将所述至少一种 告警攻击类型的告警描述信 息输入基于分类器的告警误报识别模型， 输出目标攻击类型； 在所述告警描述信 息提供的告警攻击类型与所述目标攻击类型一致的情况下， 则 输出 的告警误报识别结果显示非误报； 在所述告警描述信 息提供的告警攻击类型与所述目标攻击类型不一致的情况下， 则 输 出的告警误报识别结果显示告警误报。 4.根据权利要求1所述的网络安全检测方法， 其特征在于， 根据 所述告警误报识别结果 对所述网络访问行为执 行相应决策， 包括： 在所述告警误报识别结果显示非误报告警的情况 下， 拦截所述网络访问行为。 5.根据权利要求1所述的网络安全检测方法， 其特征在于， 根据 所述告警误报识别结果 对所述网络访问行为执 行相应决策， 包括： 在所述告警误报识别结果未显示网络安全告警的情况 下， 对所述网络访问行为 放行。 6.根据权利要求1所述的网络安全检测方法， 其特征在于， 根据 所述告警误报识别结果 对所述网络访问行为执 行相应决策， 包括： 在所述告警描述信息提供的告警攻击类型与所述告警误报识别模型识别到的目标攻 击类型不 一致的情况 下， 拦截所述网络访问行为。 7.根据权利要求1所述的网络安全检测方法， 其特征在于， 所述告警误报识别模型是使 用如下方法训练得到的： 对所述告警日志数据抽取特征信 息， 所抽取的特征信 息包括所述告警日志数据在各个 告警攻击类型的联合 概率和流量特征信息； 利用所抽取的特征信 息输入基于分类器的告警误报识别模型， 对所述告警误报识别模权　利　要　求　书 1/2 页 2 CN 114070642 A 2型进行训练。 8.一种网络安全检测系统， 其特 征在于， 包括： 网络安全检测模块， 在获取到用户的网络访 问行为的情况下， 利用告警触发规则对所 述网络访问行为进行网络安全检测； 告警模块， 在所述告警触发规则对所述网络访 问行为触发告警的情况下， 获得所述告 警触发规则输出的对所述网络访问行为的告警描述信息； 告警误报识别模块， 将所述告警描述信息输入基于分类器的告警误报识别模型， 输出 告警误报识别结果， 所述告警误报识别模型 是利用告警日志数据训练得到的； 决策执行模块， 根据所述告警误报识别结果对所述网络访 问行为执行相应决策， 所述 告警误报识别结果与所述决策之间的对应关系是 预先设置的。 9.一种网络安全检测设备， 其特 征在于， 包括： 处理器； 存储器， 其中存 储有所述处 理器的可 执行指令； 其中， 所述处理器配置为经由执行所述可执行指令来执行权利要求1 ‑7任一项所述网 络安全检测方法的步骤。 10.一种计算机可读存储介质， 用于存储程序， 其特征在于， 所述程序被处理器执行时 实现权利要求1至7任意 一项所述网络安全检测方法的步骤。权　利　要　求　书 2/2 页 3 CN 114070642 A 3