一种基于分类和相似度的报警聚合方法

提出一种报警聚合方法,将所有报警按攻击类别分为四类,不同报警属性根据其值的特点分为四类,在此基础上采取不同的属性相似度计算方法,设置不同的期望阈值,可通过外部接口在运行时动态调整阈值。属性相似度结果依据不同分类在最后结果中占据不同权重,聚合判决依赖于所有相似度的加权平均结果,聚合结果取决于具有最大相似度的超报警是否大于给定的阈值。实验结果表明,本算法能有效减少重复告警。