[发明专利]基于属性权重和规则驱动的异常聚合方法及系统

说明书

本发明提供的一种基于属性权重和规则驱动的异常聚合方法及系统，通过对多个原始异常数据进行格式统一，从而构建异常信息决策表，根据异常在条件属性以及决策属性相同的取值关系，针对多个异常类型的异常，计算其条件属性集的知识粒度以及粗糙条件熵；针对每个异常类型，计算每个条件属性对于每个异常类型的属性权重；通过判断当前异常满足预设的聚合条件时，将当前异常聚合到与其匹配的已有聚合异常中；如果当前异常不满足预设的聚合条件，将当前异常作为新的聚合异常加入到已有聚合异常中。本发明通过计算属性权重获得属性相似度以及预设的聚合规则进行异常聚合，可以有效减少异常数量，解决大量异常导致分析效率低的问题。

技术领域

本发明涉及数据识别技术领域，具体而言，涉及一种基于属性权重和规则驱动的异常聚合方法及系统。

背景技术

随着网络技术的发展，在网络攻击发生时，系统会产生大量的异常。在系统流量方面，会产生流量分析相关的异常，在系统应用方面，会产生应用日志异常，在系统本身的运行方面，会产生系统审计日志异常。因此对异常数据的识别是维护网络安全的必要手段。

现有的网络异常检测与聚合方法在检测异常的过程中，产生的异常数据量极大，难以逐条分析。网络在遭遇攻击时产生大量异常和告警，大量数据凭借人工手段难以探究其规律，为了减少异常的分析数据量，需要对异常进行聚合。现有的异常聚合手段主要分为基于属性相似度的聚合方法与基于时序关系的聚合方法。然而，基于属性相似度的聚合方法更关注于异常的相似度，忽略了异常之间的时序关系。而基于时序与网络特征的聚合方法需要人为定义大量聚合规则，对异常本身的聚合效果也非常有限。

发明内容

本发明提供的一种基于属性权重和规则驱动的异常聚合方法及系统，用以克服现有技术中存在的至少一个技术问题。

第一方面，本发明提供的一种基于属性权重和规则驱动的异常聚合方法包括：

获取不同厂家不同设备产生的多个原始异常以及当前异常；

对多个原始异常数据进行格式统一，以使多个原始异常的格式统一为描述原始异常多个条件属性的数据模型定义格式；

基于所述数据模型定义格式的多个原始异常，构建异常信息决策表；

其中，所述异常信息决策表中包括原始异常集合、包含原始异常的所有属性的有限非空属性集、有限非空属性集的值域、表示原始异常数据的属性值的信息函数、条件属性集以及决策属性集；所述条件属性集中包括数据模型定义格式中除异常类型外的其他条件属性；

根据异常在所述条件属性以及决策属性相同的取值关系，针对多个异常类型的异常，计算其条件属性集的知识粒度以及粗糙条件熵；

针对每个异常类型，根据决策属性集的粗糙条件熵以及条件属性集的可辨度，计算每个条件属性对于每个异常类型的属性权重；

当所述当前异常满足预设的聚合条件时，将当前异常聚合到与其匹配的已有聚合异常中；若所述当前异常不满足预设的聚合条件，则将该当前异常作为新的聚合异常加入到已有聚合异常中；

其中，所述聚合条件包括：异常类型相同、异常发生时间小于时间阈值以及存在至少一种聚合方式，所述聚合方式包括按照预先定义的聚合规则聚合的第一聚合方式和/或按照属性权重相似度聚合的第二聚合方式。

其中，所述数据模型定义格式包括异常类型、异常发生时间、异常源地址、异常源端口、异常目的地址、异常目的端口攻击方向、异常等级、攻击所处阶段以及异常描述；所述已有聚合异常包括多个异常类型下的至少一个原始异常，同一异常类型的原始异常聚合至一起，形成一个聚合异常。

可选的，所述根据异常在所述条件属性以及决策属性相同的取值关系，针对多个异常类型的异常，计算其条件属性集的知识粒度以及其决策属性集的粗糙条件熵包括：

基于所述条件属性集的知识粒度，计算条件属性集的可辨度；