[發(fā)明專利]基于改進譜聚類的報警數(shù)據(jù)融合方法有效
| 申請?zhí)枺?/td> | 202110668012.1 | 申請日: | 2021-06-16 |
| 公開(公告)號: | CN113420802B | 公開(公告)日: | 2023-05-30 |
| 發(fā)明(設(shè)計)人: | 陶曉玲;符廉銪;趙峰;歐陽逸夫;顧濤;賈飛 | 申請(專利權(quán))人: | 桂林電子科技大學(xué) |
| 主分類號: | G06F18/25 | 分類號: | G06F18/25;G06F18/23213;H04L9/40 |
| 代理公司: | 桂林文必達專利代理事務(wù)所(特殊普通合伙) 45134 | 代理人: | 張學(xué)平 |
| 地址: | 541004 廣西*** | 國省代碼: | 廣西;45 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 基于 改進 譜聚類 報警 數(shù)據(jù) 融合 方法 | ||
本發(fā)明涉及數(shù)據(jù)處理領(lǐng)域,公開了一種基于改進譜聚類的報警數(shù)據(jù)融合方法,包括對報警數(shù)據(jù)進行預(yù)處理;將報警數(shù)據(jù)按照攻擊類型進行分組;對每個組中的報警數(shù)據(jù)利用屬性相似度度量方法計算每兩個報警之間的相似度,并構(gòu)造相似度矩陣;基于相似度矩陣利用譜聚類算法對報警數(shù)據(jù)進行聚類形成簇;對同一個簇中的報警進行閾值判斷,若達到閾值則對同一個簇中的報警數(shù)據(jù)進行融合,然后輸入到融合數(shù)據(jù)集;若未達到閾值則直接輸入到融合數(shù)據(jù)集;將所有簇的融合數(shù)據(jù)集組成精簡警報數(shù)據(jù)集輸出。該方法可以在不破壞報警之間的聯(lián)系的情況下實現(xiàn)更好地聚類融合,減少信息缺失,又能在提高融合率的同時,降低了報警數(shù)據(jù)的誤報率。
技術(shù)領(lǐng)域
本發(fā)明涉及數(shù)據(jù)處理領(lǐng)域,尤其涉及一種基于改進譜聚類的報警數(shù)據(jù)融合方法。
背景技術(shù)
黑客或惡意攻擊者通過各種方法入侵網(wǎng)絡(luò),導(dǎo)致網(wǎng)絡(luò)環(huán)境面臨著大量具有針對性、隱蔽性和滲透性的潛在威脅,網(wǎng)絡(luò)安全面臨著嚴峻的挑戰(zhàn)。入侵檢測系統(tǒng)(IntrusionDetection?System,IDS)作為安全防御系統(tǒng)被用來檢測網(wǎng)絡(luò)環(huán)境是否存在入侵行為,并針對各種入侵行為產(chǎn)生相應(yīng)的報警數(shù)據(jù),便于安全管理人員采取相應(yīng)的防御措施,然而IDS在實際應(yīng)用中會產(chǎn)生大量冗余、錯誤的報警,使得管理人員難以從中找到關(guān)鍵的報警信息,進而無法掌握網(wǎng)絡(luò)安全狀況。因此,有研究學(xué)者提出了報警數(shù)據(jù)融合技術(shù),目的在于減少IDS產(chǎn)生的報警數(shù)據(jù)中的冗余報警和誤報警,為后續(xù)報警分析提供有價值的數(shù)據(jù)。目前,已有很多專家學(xué)者對報警數(shù)據(jù)融合技術(shù)進行了大量的研究,對于報警數(shù)據(jù)融合技術(shù)的研究已達到一個較成熟的狀態(tài),但仍存在一些不足:
報警融合過程中,大多數(shù)方法沒有關(guān)注報警數(shù)據(jù)及報警屬性之間存在的聯(lián)系,過度精簡報警,這樣一來會造成關(guān)鍵信息的缺失,不利于后續(xù)對報警的進一步分析;現(xiàn)有的融合方法已經(jīng)實現(xiàn)一定的報警融合率,但是誤報率還較高。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種基于改進譜聚類的報警數(shù)據(jù)融合方法,旨在減少報警數(shù)據(jù)中存在的冗余報警和誤報警,為后續(xù)報警關(guān)聯(lián)提供更精簡、更高級的報警數(shù)據(jù)。
為實現(xiàn)上述目的,本發(fā)明提供了一種基于改進譜聚類的報警數(shù)據(jù)融合方法,包括對報警數(shù)據(jù)進行預(yù)處理;
將報警數(shù)據(jù)按照攻擊類型進行分組;
對每個組中的報警數(shù)據(jù)利用屬性相似度度量方法計算每兩個報警之間的相似度,并構(gòu)造相似度矩陣;
基于相似度矩陣利用譜聚類算法對報警數(shù)據(jù)進行聚類形成簇;
對同一個簇中的報警進行閾值判斷,若達到閾值則對同一個簇中的報警數(shù)據(jù)進行融合,然后輸入到融合數(shù)據(jù)集;若未達到閾值則直接輸入到融合數(shù)據(jù)集;
將所有簇的融合數(shù)據(jù)集組成精簡警報數(shù)據(jù)集輸出。
其中,所述對報警數(shù)據(jù)進行預(yù)處理的具體步驟是:
輸入原始數(shù)據(jù)集;
在原始數(shù)據(jù)集中提取報警數(shù)據(jù)的關(guān)鍵屬性;
基于入侵檢測消息交換格式將原始數(shù)據(jù)的格式轉(zhuǎn)換成統(tǒng)一格式。
其中,所述關(guān)鍵屬性包括特征字符串、報警類別、報警日期、報警時間戳、源IP、源端口、目的IP和目的端口。
其中,所述對每個組中的報警數(shù)據(jù)利用屬性相似度度量方法計算每兩個報警之間的相似度,并構(gòu)造相似度矩陣的具體步驟是:
計算攻擊類型、源IP、目的IP、源端口、目的端口以及時間的相似度;
基于主成分分析法計算各個關(guān)鍵屬性的權(quán)重;
基于相似度和權(quán)重構(gòu)造相似度矩陣。
其中,所述基于相似度矩陣利用譜聚類算法對報警數(shù)據(jù)進行聚類形成簇的具體步驟是:
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于桂林電子科技大學(xué),未經(jīng)桂林電子科技大學(xué)許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110668012.1/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
