[发明专利]基于属性权重和规则驱动的异常聚合方法及系统

权利要求书

1.一种基于属性权重和规则驱动的异常聚合方法，其特征在于，包括：

获取不同厂家不同设备产生的多个原始异常以及当前异常；

对多个原始异常数据进行格式统一，以使多个原始异常的格式统一为描述原始异常多个条件属性的数据模型定义格式；

基于所述数据模型定义格式的多个原始异常，构建异常信息决策表；

其中，所述异常信息决策表中包括原始异常集合、包含原始异常的所有属性的有限非空属性集、有限非空属性集的值域、表示原始异常数据的属性值的信息函数、条件属性集以及决策属性集；所述条件属性集中包括数据模型定义格式中除异常类型外的其他条件属性；

根据异常在所述条件属性以及决策属性相同的取值关系，针对多个异常类型的异常，计算其条件属性集的知识粒度以及粗糙条件熵；

针对每个异常类型，根据决策属性集的粗糙条件熵以及条件属性集的可辨度，计算每个条件属性对于每个异常类型的属性权重；

当所述当前异常满足预设的聚合条件时，将当前异常聚合到与其匹配的已有聚合异常中；若所述当前异常不满足预设的聚合条件，则将该当前异常作为新的聚合异常加入到已有聚合异常中；

其中，所述聚合条件包括：异常类型相同、异常发生时间小于时间阈值以及存在至少一种聚合方式，所述聚合方式包括按照预先定义的聚合规则聚合的第一聚合方式和/或按照属性权重相似度聚合的第二聚合方式。

2.根据权利要求1所述的异常聚合方法，其特征在于，所述数据模型定义格式包括异常类型、异常发生时间、异常源地址、异常源端口、异常目的地址、异常目的端口攻击方向、异常等级、攻击所处阶段以及异常描述；所述已有聚合异常包括多个异常类型下的至少一个原始异常，同一异常类型的原始异常聚合至一起，形成一个聚合异常。

3.根据权利要求2所述的异常聚合方法，其特征在于，所述根据异常在所述条件属性以及决策属性相同的取值关系，针对多个异常类型的异常，计算其条件属性集的知识粒度以及其决策属性集的粗糙条件熵包括：

基于所述条件属性集的知识粒度，计算条件属性集的可辨度；

针对多个原始异常，基于条件信息熵原理计算所述决策属性集的粗糙条件熵。

4.根据权利要求2所述的异常聚合方法，其特征在于，所述针对每个异常类型，根据决策属性集的粗糙条件熵以及条件属性集的可辨度，计算每个条件属性对于每个异常类型的属性权重包括：

针对每个异常类型，根据决策属性集的粗糙条件熵以及条件属性集的可辨度，计算条件属性集中每个条件属性对于该异常类型的重要程度；

根据条件属性集对于每个异常类型的重要程度，计算每个条件属性对于每个异常类型的属性权重。

5.根据权利要求1所述的异常聚合方法，其特征在于，所述第一聚合方式为根据原始异常与当前异常在聚合规则定义的条件属性集上的值是否相同进行聚合的聚合方式，所述第二聚合方式为根据属性权重相似度是否超过相似度阈值进行聚合的聚合方式。

6.根据权利要求5所述的异常聚合方法，其特征在于，当所述当前异常满足预设的聚合条件时，将当前异常聚合到与其匹配的已有聚合异常中包括：

判断已有聚合异常中是否存在与当前异常的异常类型相同的聚合异常；如果存在，则继续判断当前异常的异常发生时间是否小于时间阈值；

如果当前异常的异常发生时间小于时间阈值，则判断已有聚合异常中是否存在与当前异常在聚合规则定义的条件属性集上，值相同的聚合异常；

如果已有聚合异常中存在与当前异常在聚合规则定义的条件属性集上，值相同的聚合异常，则确定该已有聚合异常与当前异常匹配；

如果已有聚合异常中不存在与当前异常在聚合规则定义的条件属性集上，值相同的聚合异常，则计算当前异常与已有聚合异常在相同条件属性的相似度，并确定相似度大于阈值的已有聚合异常与当前异常匹配；

将当前异常聚合至与其匹配的已有异常集合中。