[发明专利]基于属性相关性的网络告警信息聚类方法

权利要求书

1.一种基于属性相关性的网络告警信息聚类方法，其特征在于，其具体步骤包括：

S1，网络告警信息整理；

S2，对具有相同攻击源或相同攻击目标的网络告警信息，根据该网络告警信息五元组特征对网络告警信息进行聚类，五元组包括源地址、目的地址、源端口、目的端口、协议号；对于要聚类的网络告警信息,存在两种情形的五元组特征网络告警信息聚类模式，在网络告警信息协议类型和源地址均相同时，根据五元组中的协议号、源地址对网络告警信息进行聚类，生成以网络告警信息源属性为区分标准的网络告警信息集合；当网络告警信息协议类型和目的地址均相同时，根据五元组中的协议号、目的地址对网络告警信息进行聚类，生成以网络告警信息目的地址属性为区分标准的网络告警信息集合；

S3，对具有相同数据特征、攻击类型的网络告警信息，根据告警信息的攻击类型特征对该网络告警信息进行聚类，使得具有一定攻击类型特征相似性的网络告警信息汇聚在同一网络告警信息集合中，得到以网络告警信息类型特征为区分标准的网络告警信息集合；所述的具有一定攻击类型特征相似性的网络告警信息，是指不同的网络告警信息的类型特征的相似性评价值大于一定阈值；

S4，基于攻击发生时间的网络告警信息聚类；

S5，聚类网络告警信息再融合；

步骤S2、S3、S4中得到的不同区分标准的网络告警信息集合，构成多维网络告警信息集合，分别以攻击发生时间、攻击源、攻击目标为依据，对该多维网络告警信息集合提取其相应的交集，将所提取的交集作为最终的网络告警信息集合，以该最终的网络告警信息集合作为攻击事件分析和攻击场景还原的数据基础。

2.如权利要求1所述的基于属性相关性的网络告警信息聚类方法，其特征在于，所述的步骤S3，所述的根据攻击类型特征对该网络告警信息进行聚类，得到的每一个网络告警信息集合都对应一种攻击类型；按照网络告警信息本身所标记的攻击类型对网络告警信息进行聚类，或者根据网络告警信息的攻击目标服务类型、攻击漏洞类别、攻击手法属性值，对网络告警信息进行聚类，得到的每一个网络告警信息集合都对应某一网络攻击类型告警信息。

3.如权利要求2所述的基于属性相关性的网络告警信息聚类方法，其特征在于，所述的按照网络告警信息本身所标记的攻击类型对网络告警信息进行聚类，是根据攻击技战术类型和攻击类型特征对网络告警信息进行聚类。

4.如权利要求1所述的基于属性相关性的网络告警信息聚类方法，其特征在于，所述的对网络告警信息的发生时间进行记录，是使用统一的标准时间进行表示。

5.如权利要求1所述的基于属性相关性的网络告警信息聚类方法，其特征在于，所述的步骤S1，具体包括，对包括防火墙、杀毒终端、恶意流量分析、邮件分析在内的安全防御设备和服务产生网络告警信息，利用IDMEF安全事件规范对该信息进行格式统一，实现网络告警信息记录描述的动态可扩展性、兼容性、逻辑统一性；再对网络告警信息进行去重处理，以减少网络告警信息数量。

6.如权利要求1所述的基于属性相关性的网络告警信息聚类方法，其特征在于，所述的步骤S4，其具体包括，对于具有相近攻击发生时间的网络告警信息，利用攻击发生时间信息，对网络告警信息进行聚类；对网络告警信息的发生时间进行记录，依据实际攻击告警态势，根据网络告警信息发生时间，定义每个告警事件的时间跨度[s1，s2]，将网络告警信息数量异常开始时间为s1，网络告警信息数量异常结束时间为s2；将在同一个时间跨度内的网络告警信息进行聚类，得到以攻击发生时间为区分标准的网络告警信息集合；并将该网络告警信息集合，根据相同攻击源、相同攻击目的、相同攻击特征再进行划分，得到该网络告警信息集合的细分子集合；所述的具有相近攻击发生时间的网络告警信息，是指不同网络告警信息的发生时间之间的间隔，小于一定阈值。