1.一种基于类别属性划分的OSSEC报警数据聚合方法，其特征在于，该方法包括以下步骤：S1.采集原始OSSEC报警数据；

S2.对原始OSSEC报警数据进行标准化得到标准化OSSEC报警数据；

S3.采用内容合并、格式转换和数据过滤的方法对步骤S1采集的报警数据进行预处理，通过设置属性匹配固定时间阈值过滤的方法减少重复报警数据的数量；所述重复报警数据是每两条报警数据间除了时间属性之外其他属性内容均相同的报警数据；

S4.通过改进入侵检测系统的报警数据的读取方式以及类别属性划分对步骤S2所述的OSSEC报警数据进行处理使得每条OSSEC报警数据升序逐层匹配；

S5.计算所述步骤S4所得到的逐层匹配后的每条OSSEC报警数据各属性的相似度。

S6.计算所述步骤S4所得到的逐层匹配后的每条OSSEC报警数据全局相似度以及计算每条OSSEC报警数据的各个属性的权重值；

S7.根据步骤S5得到的OSSEC报警数据的各个属性相似度和步骤S6得到的权重值，进行累乘加权计算得到每条报警数据的全局相似度；并计算聚合结果。

2.根据权利要求1所述的一种基于类别属性划分的OSSEC报警数据聚合方法，其特征在于，在所述步骤S2中，所述OSSEC报警数据包括由时间戳、主机用户名、源IP、描述信息、规则编号、类别、严重程度等级7种属性构成的七元组。

3.根据权利要求1所述的一种基于类别属性划分的OSSEC报警数据聚合方法，其特征在于，所述步骤S3具体包括以下子步骤；

步骤S31.对需要进行内容合并和格式转换处理的OSSEC报警数据进行集合封装和参数定义；

步骤S32.对整个文本进行逐条顺序读取加载，若读取到最后一行则直接跳出循环，否则一一加载到集合中；

步骤S33.对合并后文件做属性的起始字符识别转换处理，将合并后文件按照时间升序输出并转换格式存储；

步骤S34.采用属性匹配固定时间阈值预处理算法将格式转换后的OSSEC报警数据以逐一匹配属性的方式对报警数据进行精简；

步骤S35.对合并和转换处理后的OSSEC报警数据进行集合封装定义。

步骤S36.对整个文本进行逐条顺序读取加载，若读取到最后一行则直接跳出循环，否则一一加载到集合中；

步骤S37.在排序后的数据集上移动一个的固定大小时间窗口，每次只检测timeDiff小于窗口内的报警数据；

步骤S38.一一匹配判断比较每条OSSEC报警数据时间之外的属性是否满足过滤条件，若每个属性都满足过滤条件，则输出并存储。

4.根据权利要求3所述的一种基于类别属性划分的OSSEC报警数据聚合方法，其特征在于，所述步骤S4具体包括以下子步骤：S41.对预处理后的OSSEC报警数据进行集合封装；

S42.对整个OSSEC报警数据文本进行逐条顺序读取加载，若读取到最后一行则直接跳出循环，否则一一加载到集合中；

S43.对每条OSSEC报警数据的类别属性以首字母升序排列逐一比较，并循环迭代逐层判别，从而实现类别属性划分；

S44.以指定格式进行保存输出。

5.根据权利要求1所述的一种基于类别属性划分的OSSEC报警数据聚合方法，其特征在于，在所述步骤S5中，所述各属性的相似度包括报警标识属性的相似度、IP地址相似度和报警时间戳相似度。

6.根据权利要求1所述的一种基于类别属性划分的OSSEC报警数据聚合方法，其特征在于，在所述步骤S6中，通过熵值法来计算每条OSSEC报警数据的各个属性的权重值。

7.根据权利要求1所述的一种基于类别属性划分的OSSEC报警数据聚合方法，其特征在于，所述步骤S7具体包括以下子步骤：S71.计算每条OSSEC报警数据的全局相似度；

S72.对计算全局相似度后的每条OSSEC报警数据进行集合封装；

S73.对整个OSSEC报警数据文件进行逐条顺序读取加载，若读取到最后一行则直接跳出循环，否则一一加载到集合中；

S74.将每条OSSEC报警数据全局相似度属性列的内容分别与期望阈值集合进行比较，并统计满足条件的报警条数；

S75.若全局相似度小于期望阈值，则统计满足此条件的报警数据，并可视为作为聚合所得到的报警数据结果；否则，则表明此条OSSEC报警数据不是所期望的聚合范围。

8.根据权利要求5所述的一种基于类别属性划分的OSSEC报警数据聚合方法，其特征在于，所述IP地址相似度的计算方法为：采用无类别域间路由的格式对IP地址进行比较，将每两条OSSEC报警数据相同的二进制位个数r除以IP地址二进制位长度的值作为两个IP地址的相似度；

计算公式设置如下：

其中，Simip(Alerti,Alertj)是报警数据的IP相似度值，Alerti和Alertj分别表示第i条和第j条报警数据。

9.根据权利要求5所述的一种基于类别属性划分的OSSEC报警数据聚合方法，其特征在于，所述报警时间戳相似度的计算方法为：将时间间隔Tinternal和预设的最小阈值tmin及最大阈值tmax进行比较，当时间间隔Tinternal小于tmin则相似度为0，当时间间隔Tinternal大于tmax则相似度为1，如果时间间隔Tinternal在tmin和tmax之间，计算公式设置如下：其中，Simtimestamp(Alerti,Alertj)是报警数据时间戳的相似度值，Alerti和Alertj分别表示第i条和第j条报警数据。

10.根据权利要求6所述的一种基于类别属性划分的OSSEC报警数据聚合方法，其特征在于，每条OSSEC报警数据的全局相似度的计算方法为：其中，Simsum(Alerti,Alerti+1)是报警数据的总相似度，i,j是计算属性权重时报警数据所在的行号，c是报警数据的属性所在的列号，Wc是报警数据各个属性的权重，Alert(i)attributes和Alert(j)attributes分别表示第i条和第j条报警数据的每个属性的集合，n是报警数据的条数。