[发明专利]基于改进谱聚类的报警数据融合方法

说明书

本发明涉及数据处理领域，公开了一种基于改进谱聚类的报警数据融合方法，包括对报警数据进行预处理；将报警数据按照攻击类型进行分组；对每个组中的报警数据利用属性相似度度量方法计算每两个报警之间的相似度，并构造相似度矩阵；基于相似度矩阵利用谱聚类算法对报警数据进行聚类形成簇；对同一个簇中的报警进行阈值判断，若达到阈值则对同一个簇中的报警数据进行融合，然后输入到融合数据集；若未达到阈值则直接输入到融合数据集；将所有簇的融合数据集组成精简警报数据集输出。该方法可以在不破坏报警之间的联系的情况下实现更好地聚类融合，减少信息缺失，又能在提高融合率的同时，降低了报警数据的误报率。

技术领域

本发明涉及数据处理领域，尤其涉及一种基于改进谱聚类的报警数据融合方法。

背景技术

黑客或恶意攻击者通过各种方法入侵网络，导致网络环境面临着大量具有针对性、隐蔽性和渗透性的潜在威胁，网络安全面临着严峻的挑战。入侵检测系统(IntrusionDetection System，IDS)作为安全防御系统被用来检测网络环境是否存在入侵行为，并针对各种入侵行为产生相应的报警数据，便于安全管理人员采取相应的防御措施，然而IDS在实际应用中会产生大量冗余、错误的报警，使得管理人员难以从中找到关键的报警信息，进而无法掌握网络安全状况。因此，有研究学者提出了报警数据融合技术，目的在于减少IDS产生的报警数据中的冗余报警和误报警，为后续报警分析提供有价值的数据。目前，已有很多专家学者对报警数据融合技术进行了大量的研究，对于报警数据融合技术的研究已达到一个较成熟的状态，但仍存在一些不足：

报警融合过程中，大多数方法没有关注报警数据及报警属性之间存在的联系，过度精简报警，这样一来会造成关键信息的缺失，不利于后续对报警的进一步分析；现有的融合方法已经实现一定的报警融合率，但是误报率还较高。

发明内容

本发明的目的在于提供一种基于改进谱聚类的报警数据融合方法，旨在减少报警数据中存在的冗余报警和误报警，为后续报警关联提供更精简、更高级的报警数据。

为实现上述目的，本发明提供了一种基于改进谱聚类的报警数据融合方法，包括对报警数据进行预处理；

将报警数据按照攻击类型进行分组；

对每个组中的报警数据利用属性相似度度量方法计算每两个报警之间的相似度，并构造相似度矩阵；

基于相似度矩阵利用谱聚类算法对报警数据进行聚类形成簇；

对同一个簇中的报警进行阈值判断，若达到阈值则对同一个簇中的报警数据进行融合，然后输入到融合数据集；若未达到阈值则直接输入到融合数据集；

将所有簇的融合数据集组成精简警报数据集输出。

其中，所述对报警数据进行预处理的具体步骤是：

输入原始数据集；

在原始数据集中提取报警数据的关键属性；

基于入侵检测消息交换格式将原始数据的格式转换成统一格式。

其中，所述关键属性包括特征字符串、报警类别、报警日期、报警时间戳、源IP、源端口、目的IP和目的端口。

其中，所述对每个组中的报警数据利用属性相似度度量方法计算每两个报警之间的相似度，并构造相似度矩阵的具体步骤是：

计算攻击类型、源IP、目的IP、源端口、目的端口以及时间的相似度；

基于主成分分析法计算各个关键属性的权重；

基于相似度和权重构造相似度矩阵。

其中，所述基于相似度矩阵利用谱聚类算法对报警数据进行聚类形成簇的具体步骤是：