(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111390020.0 (22)申请日 2021.11.23 (65)同一申请的已公布的文献号 申请公布号 CN 113836527 A (43)申请公布日 2021.12.24 (73)专利权人 北京微步在线科技有限公司 地址 100082 北京市海淀区苏州街 49-3号3 层301室 (72)发明人 熊剑　陈杰　黄雅芳　童兆丰　 薛锋　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 蒋姗 (51)Int.Cl. G06F 21/55(2013.01)G06N 20/00(2019.01) 审查员 刘梦佳 (54)发明名称 入侵事件检测模 型构建方法、 装置及 入侵事 件检测方法 (57)摘要 一种入侵事件检测模 型构建方法、 装置及入 侵事件检测方法， 涉及网络安全技术领域， 包括： 先获取用于训练原始检测模型的目标数据集； 并 对目标数据集进行预处理， 得到特征向量集； 再 根据目标数据集对特征向量集进行特征关联处 理， 得到独立特征向量集； 进 一步地， 对目标数据 集中带标签的事件数据进行过采样， 得到过采样 数据， 以及对目标数据集中无标签的日志数据进 行欠采样， 得到欠采样数据； 最后根据独立特征 向量集、 过采样数据以及欠采样数据， 对原始检 测模型进行训练， 得到入侵事件检测模型， 能够 构建入侵事件检测模型， 以实现快速准确的对入 侵事件进行检测， 检测准确率高， 误报率低， 进而 有利于维护网络安全。 权利要求书3页 说明书10页 附图5页 CN 113836527 B 2022.02.18 CN 113836527 B 1.一种入侵事 件检测模型构建方法， 其特 征在于， 包括： 获取用于训练原 始检测模型的目标 数据集； 对所述目标 数据集进行 预处理， 得到特 征向量集； 根据所述目标 数据集对所述特 征向量集进行特征关联处 理， 得到独立特 征向量集； 对所述目标数据集中带标签的事件数据进行过采样， 得到过采样数据， 以及对所述目 标数据集中无 标签的日志数据进行欠采样， 得到欠采样数据； 根据所述独立特征向量集、 所述过采样数据以及所述欠采样数据， 对所述原始检测模 型进行训练， 得到入侵事 件检测模型； 其中， 所述获取用于训练原 始检测模型的目标 数据集， 包括： 获取经单位时间聚合后的高威胁告警数据， 得到原始数据集， 以及获取聚合后的低威 胁告警数据， 得到负 样本数据； 对所述原 始数据集进行 预处理， 得到处 理数据； 根据预先构建的三级动作 标签体系 对所述处理数据进行数据分析， 确定目标入侵事件 以及所述目标入侵事 件对应的目标 行为标签； 确定所述负 样本数据中入侵事 件的行为标签； 根据所述目标入侵事件的目标行为标签、 所述负样本数据中入侵事件的行为标签以及 所述处理数据， 确定目标 数据集； 其中， 所述根据预先构建的三级动作标签体系对所述处理数据进行数据分析， 确定目 标入侵事 件以及所述目标入侵事 件对应的目标 行为标签， 包括： 根据预先构建的三级动作 标签体系 对所述处理数据进行数据分析， 得到目标入侵事件 以及所述目标入侵事 件对应的动静态行为标签； 根据所述三级动作 标签体系以及所述处理数据中的入侵阶段信 息， 构建所述目标入侵 事件的入侵上 下文标签； 根据所述三级动作 标签体系以及所述处理数据中的进程链， 确定所述目标入侵事件的 复合型行为标签； 根据所述动静态行为标签、 所述入侵上下文标签以及所述复合型行为标签， 确定所述 目标入侵事 件的目标 行为标签。 2.根据权利要求1所述的入侵事件检测模型构建方法， 其特征在于， 在对所述原始数据 集进行预处理， 得到处 理数据之前， 所述方法还 包括： 根据所述处理数据以预设算法构建三级动作 标签体系， 所述三级动作标签体系 包括一 级标签、 二级子标签以及三级子标签， 其中， 所述三级子标签包括所述二级子标签的子属性 数据。 3.根据权利要求1所述的入侵事件检测模型构建方法， 其特征在于， 所述根据 所述目标 数据集对所述特 征向量集进行特征关联处 理， 得到独立特 征向量集， 包括： 根据所述目标数据集中时序 上下文的关联性数据， 生成与所述特征向量集对应的附加 向量数据； 根据所述特 征向量集和所述附加向量数据， 生成新的特 征向量集； 将所述新的特征向量集中每个特征向量与所述目标数据集中的告警相关信息进行对 应关联， 得到独立特 征向量集。权　利　要　求　书 1/3 页 2 CN 113836527 B 24.根据权利要求1所述的入侵事件检测模型构建方法， 其特征在于， 所述根据 所述独立 特征向量集、 所述过采样数据以及所述欠采样数据， 对所述原始检测模型进行训练， 得到入 侵事件检测模型， 包括： 根据所述独立特 征向量集、 所述过采样数据以及所述 欠采样数据生成原 始样本集； 将所述原 始样本集划分为训练集和 测试集； 通过所述训练集对所述原 始检测模型进行训练， 得到训练好的检测模型； 通过所述测试集对所述训练好的检测模型进行评估， 得到 评估结果； 根据所述评估结果和所述训练好的检测模型， 确定入侵事 件检测模型。 5.一种入侵事件检测方法， 其特征在于， 应用于权利要求1 ‑4任一项所述的入侵事件检 测模型构建方法， 包括： 获取待检测的聚合后的高威胁告警数据； 通过预先构建的入侵事件检测模型对所述高威胁告警数据进行处理， 得到检测到的入 侵事件以及所述入侵事 件的入侵行为标签； 根据所述入侵事 件和所述入侵行为标签确定入侵事 件检测结果。 6.一种入侵事件检测模型构建装置， 其特征在于， 所述入侵事件检测模型构建装置包 括： 获取单元， 用于获取用于训练原 始检测模型的目标 数据集； 预处理单元， 用于对所述目标 数据集进行 预处理， 得到特 征向量集； 关联单元， 用于根据所述目标数据集对所述特征向量集进行特征关联处理， 得到独立 特征向量集； 采样单元， 用于对所述目标数据集中带标签的事件数据进行过采样， 得到过采样数据， 以及对所述目标 数据集中无 标签的日志数据进行欠采样， 得到欠采样数据； 训练单元， 用于根据 所述独立特征向量集、 所述过采样数据以及所述欠采样数据， 对所 述原始检测模型进行训练， 得到入侵事 件检测模型； 其中， 所述获取 单元包括： 获取子单元， 用于获取经单位 时间聚合后的高威胁告警数据， 得到原始数据集， 以及获 取聚合后的低威胁告警数据， 得到负 样本数据； 预处理子单元， 用于对所述原 始数据集进行 预处理， 得到处 理数据； 第一确定子单元， 用于根据 预先构建的三级动作标签体系 对所述处理数据进行数据分 析， 确定目标入侵事 件以及所述目标入侵事 件对应的目标 行为标签； 第二确定 子单元， 用于确定所述负 样本数据中入侵事 件的行为标签； 第三确定子单元， 用于根据所述目标入侵事件的目标行为标签、 所述负样本数据中入 侵事件的行为标签以及所述处 理数据， 确定目标 数据集； 其中， 所述第一确定 子单元包括： 第一模块， 用于根据预先构建的三级动作标签体系对所述处理数据进行数据分析， 得 到目标入侵事 件以及所述目标入侵事 件对应的动静态行为标签； 第二模块， 用于根据所述三级动作标签体系以及所述处理数据中的入侵阶段信息， 构 建所述目标入侵事 件的入侵上 下文标签； 第三模块， 用于根据所述三级动作标签体系以及所述处理数据中的进程链， 确定所述权　利　要　求　书 2/3 页 3 CN 113836527 B 3