本發明公開了一種基于信息論的告警關聯方法，本發明以告警A和告警B為例探討了如何利用條件熵這個信息論的基本概念來判定告警之間存在的統計關聯性。那么在具體的告警關聯實踐中，需要考慮的統計關聯性不是單純的兩個告警之間的，而是多個告警之間的，因此情況要復雜一些。在實際關聯處理中，需要考慮每個告警以及與它處于同一個時間范圍內的所有告警的統計關聯性，并且從中選擇與它一起發生概率最大的n條告警作為與它存在潛在關聯的告警保存起來。然后再利用攻擊腳本分析的辦法對這些潛在的關聯關系進行檢查，從而得到最終的告警關聯結果。

技術領域

本發明涉及信息技術領域，具體是一種基于信息論的告警關聯方法。

背景技術

目前的告警關聯分析方法主要可以分成兩個部分：即利用對告警間已有知識的告警關聯方法和不依賴告警間已有知識的告警關聯方法。前者的基本思想與入侵檢測研究中的誤用檢測技術類似；而后者則類似于異常檢測技術。利用已有知識進行告警關聯方法主要優點是嚴格依照目前對告警之間關系的已有知識進行關聯處理，因此很少出現錯誤關聯的現象，即這種告警關聯方法的關聯正確率很高；但是這種方法也存在明顯缺點：即不能處理沒有保存在知識庫中的新告警信息，同時對于已知告警信息之間新發展的關聯關系也不能做出正確反應。那么這種基于已有知識的告警關聯方法將不能適應攻擊者攻擊手段和方式的不斷變化，這種先天性的缺陷在目前攻擊模式發展迅速的環境中將給告警關聯處理帶來嚴重的后果。為了有效的彌補這種缺陷，必須從另外一個角度來考慮和解決告警關聯問題。

發明內容

本發明的目的在于提供一種基于信息論的告警關聯方法，以解決上述背景技術中提出的問題。

為實現上述目的，本發明提供如下技術方案：

一種基于信息論的告警關聯方法，包含以下步驟：

一、尋找告警間的關聯性；

二、計算關聯告警的熵；

三、根據告警的熵推導發生概率；

四、實際中得到告警的關聯性。

作為本發明的進一步方案：所述步驟二具體是：假設現有兩個告警A和B，經過觀察和統計我們可以獲取它們出現的相關統計數據，首先把告警A作為考慮的主體，而把告警B作為我們關聯的目標，告警A作為主體是肯定出現的，即P(A)＝1，考慮在告警A出現并且已知的情況下告警B出現的情況，因此有P(B|A)＝P(B)，那么根據條件熵的定義式，得出：

從上面的推導過程可以看出，告警B對告警A的條件熵在具體環境中與告警B的熵相等，在告警關聯應用中，由于告警B對告警A的條件熵反映的是在告警A出現的前提下告警B發生的隨機性；而在告警A出現的情況下若告警B出現的概率越大說明它們越有可能存在關聯，因此告警B的熵就可以作為衡量告警A與告警B的統計關聯性大小的標準，由于考慮告警A已經發生，那么此時告警B的狀態只可能有兩種取值：要么告警B出現，要么告警B沒有出現。這兩種情況發生的概率分別可以用P(B)1以及[1-P(B)]來表示，因此告警B的熵可以進一步表示為下面的形式

作為本發明的進一步方案：所述步驟三具體是：根據步驟二得到的告警B熵的公式，轉化為它的概率的函數。

作為本發明的進一步方案：所述步驟四具體是：在實際關聯處理中，考慮每個告警以及與它處于同一個時間范圍內的所有告警的統計關聯性，并且從中選擇與它一起發生概率最大的n條告警作為與它存在潛在關聯的告警保存起來，然后再利用攻擊腳本分析的辦法對這些潛在的關聯關系進行檢查，從而得到最終的告警關聯結果。