1.一種基于改進譜聚類的報警數(shù)據(jù)融合方法，其特征在于，

包括對報警數(shù)據(jù)進行預處理；

將報警數(shù)據(jù)按照攻擊類型進行分組；

對每個組中的報警數(shù)據(jù)利用屬性相似度度量方法計算每兩個報警之間的相似度，并構造相似度矩陣，具體步驟是：

計算攻擊類型、源IP、目的IP、源端口、目的端口以及時間的相似度，包括：

攻擊類型相似度計算：通過直接對比兩條報警數(shù)據(jù)的攻擊類型是否相同，如果相同，則將其相似度設為1，否則設為0，計算公式如下：

IP地址相似度計算：對于源IP地址、目的IP地址，根據(jù)無類別域間路由格式來判斷計算它們的相似度；報警數(shù)據(jù)中的IP屬性是由32位二進制數(shù)格式呈現(xiàn)的，通過比較兩個IP地址具有的相同位數(shù)來計算IP地址的相似度，其計算公式如下：

其中L表示兩條報警數(shù)據(jù)的IP地址從高位開始連續(xù)相同的位數(shù)個數(shù)，如果sim_ip為0，則表示兩個IP地址完全不相似；如果sim_ip為1，則表示兩個IP地址完全一致；

端口相似度計算：直接對端口號進行比較，如果相同，則將其相似度設為1，否則設為0，計算公式如下：

時間相似度計算：采用的時間相似度計算方法如下：

其中T是定義的時間窗口閾值，表示兩條報警數(shù)據(jù)能夠進行融合的最大時間間隔，T_max-T_min＝T；

基于主成分分析法計算各個關鍵屬性的權重；

基于相似度和權重構造相似度矩陣，具體方式為通過為每個屬性設置相應的權重得到報警數(shù)據(jù)間的總體相似度，兩條報警alert_i與alert_j的總體相似度計算公式如下：

其中sim_l表示報警各個屬性的相似度，ω_l表示各屬性對應的權重；

基于相似度矩陣利用譜聚類算法對報警數(shù)據(jù)進行聚類形成簇；

對同一個簇中的報警進行閾值判斷，若達到閾值則對同一個簇中的報警數(shù)據(jù)進行融合，然后輸入到融合數(shù)據(jù)集；若未達到閾值則直接輸入到融合數(shù)據(jù)集；

將所有簇的融合數(shù)據(jù)集組成精簡警報數(shù)據(jù)集輸出。