一种基于聚类分析的网络入侵场景图生成方法技术

本发明专利技术涉及一种基于聚类分析的网络入侵场景图生成方法。输入经过特征类相关性分析后得到的入侵场景原始关系对，计算其所有告警关系对中后件入度；从０入度开始，依从将同一入度下具有相同的规则标识、攻击源ＩＰ地址和攻击目的ＩＰ地址告警属性的告警合并成为一个新的聚合告警，它的产生时间和结束时间分别为所有被合并告警中的最小产生时间和最大结束时间，聚合告警的层次与其入度数对应，攻击次数被合并的告警数，在保证入侵场景图连通性的前提下去除跨层关系，形成网络入侵场景图。采用该方法，不仅大大地压缩了入侵场景图中告警关系对的数量，而且保证入侵场景的准确性，其构图直观，容易理解，便于网络安全管理员采取及时有效的响应手段。

【技术实现步骤摘要】

【技术保护点】
一种基于聚类分析的网络入侵场景图生成方法，输入经过特征类相关性分析后得到的入侵场景的原始告警关系对，其特征在于再进行如下步骤的操作：　（１）输入经过特征类相关性分析后得到入的侵场景原始关系对，计算其所有告警的入度；　（２）从０入 度开始，将同一入度下具有相同的规则标识、攻击源ＩＰ地址和攻击目的ＩＰ地址告警属性的告警合并成为一个新的聚合告警；该聚合告警的标识为形成该聚合告警时被合并告警中的任一告警的ＩＤ号，产生时间和结束时间分别对应为所有被合并告警的最小产生时间和最大结束时间，该聚合告警的层次为当前的入度数加１，攻击次数为被合并告警的个数；被合并的告警的后件关系叠加在它所在的聚合告警的后件中；　（３）对０入度的告警的后件告警入度减１后，重新计算入度，循环（２）的操作，直到遍历完所有告警完成聚类合并 ，得到聚合告警及聚合告警关系对；　（４）依次取出每一个聚合告警，分别得到聚合告警所有后件的入度，对有多个不同入度的后件，在保持连通图连通的条件下进行去除跨层关系操作，生成网络入侵场景图。

【技术特征摘要】

【专利技术属性】
技术研发人员：孙燕龙，张国，杨晓峰，孙明明，
申请(专利权)人：苏州盛世阳科技有限公司，
类型：发明
国别省市：32[中国|江苏]