[科普中国]-关联处理

简介

在计算机科学中，可以把关联处理分为三个层次，硬件关联处理、软件关联处理和数据关联处理。这三个层次关联处理既是独立的又是相互依赖的。硬件关联处理是指计算机设备工作之间存在相互依赖关系。软件关联处理是指软件之间需要相互调用才能实现某种功能。数据关联处理是指采用某种方法分析数据之间关系。硬件关联处理和软件关联处理通过处理数据关联处理来发现的，而数据关联处理需要硬件关联处理和软件关联处理来实现。

处理器关联处理器亲和性又称处理器关联。通过处理器关联可以将虚拟机或虚拟处理器映射到一个或多个物理处理器上。该技术基于对称多处理机操作系统中的native central queue调度算法。队列（queue）中的每一个任务（进程或线程）都有一个标签（tag）来指定它们倾向的处理器。在分配处理器的阶段，每个任务就会分配到它们所倾向的处理器上。

处理器亲和性利用了这样一个事实，就是进程上一次运行后的残余信息会保留在处理器的状态中（也就是指处理器的缓存）。如果下一次仍然将该进程调度到同一个处理器上，就能避免一些不好的情况（比如缓存未命中），使得进程的运行更加高效。

调度算法对于处理器亲和性的支持各不相同。有些调度算法在它认为合适的情况下会允许把一个任务调度到不同的处理器上。比如当两个计算密集型的任务（A和B）同时对一个处理器具有亲和性时，另外一个处理器可能就被闲置了。这种情况下许多调度算法会把任务B调度到第二个处理器上，使得多处理器的利用更加充分。

处理器亲和性能够有效地解决一些高速缓存的问题，但却不能缓解负载均衡的问题。而且，在异构系统中，处理器亲和性问题会变得更加复杂。

系统调用系统调用（system call），指运行在使用者空间的程序向操作系统内核请求需要更高权限运行的服务。系统调用提供用户程序与操作系统之间的接口。大多数系统交互式操作需求在内核态执行。如设备IO操作或者进程间通信。

数据关联处理数据关联处理，也可以称做数据分析或数据关联分析。关联分析是一种简单、实用的分析技术，就是发现存在于大量数据集中的关联性或相关性，从而描述了一个事物中某些属性同时出现的规律和模式。一般采用关联规则分析。关 联规则发现是寻找事物之间的关联。如，它可从一 组(假设是商品采购)事务包含的一组数据项中发现规则如下：如果采购事务包含项X和项Y，则在全部采购事务的N%中包含采购事务的项Z。序列规则发现类似于关联规则发现，是寻找事物之间的序列关系。如，同样可从消费者购物的一组事务所包含的一组数据项中，进一步对这些事务的每个消费者给以标识。关联规则一般有以下度量：

兴趣度度量(interest measure)：帮助用户评估得 到的关联规则。与关联规则评估相关的兴趣度包括简洁性、正确性、实用性、新颖性。

简洁性度量是衡量一个规则结构的复杂程度， 复杂结构的规则难以解释与理解，造成其兴趣度降低；正确性度量用以判断规则令人信服的程度有多 高，在关联规则中用置信度表示；实用性度量用以判断该规则再次出现的可能性有多大，在关联规则中用支持度表示；新颖性度量判断规则是否已被导 出的规则集中的另一规则所蕴涵，用以去除冗余规则。

频繁项集(frequent itemset)： 项集出现的频率表 示包含项集的交易数，如果项集的出现频率大于或等于最小支持度阈值与交易数据集D中交易总数的 乘积，即项集满足最小支持度阈值要求，则该项集 是频繁项集；其余称为非频繁项集。

强关联规则： 强关联规则是指同时满足用户定义的最小支持度阈值和最小置信度阈值的关联规则。相反，不满足用户定义的最小支持度阈值和最小置信度阈值的规则，是弱关联规则1。

入侵检测警报关联处理技术警报关联技术是根据 IDS 警报信息之间往往并非独立的特性，采用一定的算法或分析策略，对警报的某些属性进行分析，以发现警报信息之间的重复、并发、因果、时序等关系，进而根据这些关系重构攻击序列，发现完整入侵事件的技术。

基于相似性的关联算法该类算法主要通过定义相似度函数来计算警报之间的关联特性。算法描述如下：

(1) 对报警信息的共有属性分别定义相似函数。

(2) 定义属性相似期望。相似期望表示对属性相似的先验期望，大小依赖于特定上下文。由于不同的属性对报警信息整体相似度的贡献不同，设置不同属性权值来计算整体相似度。

(3) 定义属性最小相似度。如果某属性的相似度小于最小相似度，则两条报警信息的该属性不具有相似性。

(4) 定义报警相似度阈值域。如果两条报警信息的相似度不在相似度阈值域内，则两条报警不相似。

(5) 计算报警相似度。

该方法的优点： 能够发现利用假冒源 IP 地址和潜伏期很长的攻击场景；关联速度快，在不到两秒内，可对 16000 个报警分配攻击场景。缺点：由于场景的分配基于原子模型，一旦一个攻击场景出错，就会影响到后续报警信息的关联，因此该方法需要在减少错误场景的创建方面进行改进。

基于聚类分析的关联算法聚类分析是根据对象属性对对象进行分类的一种多元分析技术，把属性相近的个体归为一类，使得同一类中的个体具有高度的相似性，不同类之间的个体具有高度的相异性。基于攻击场景的启发式聚类方法。报警信息中的属性都可作为聚合属性，通常采用三个聚合属性：攻击源、攻击目标、攻击类型．场景定义为： 。根据攻击者采取的攻击方法定义了七种攻击场景：(1) 具有相同攻击源、攻击目标、攻击类型，如攻击者对 Web 服务器发动一系列的 Web 攻击；(2) 具有相同攻击源、攻击目标，如攻击者对同一目标提供的不同服务发动攻击；(3) 具有相同攻击目标、攻击类型，如多个攻击者协作对同一目标实行分布式攻击，使之拒绝服务；(4) 具有相同攻击源、 攻击类型， 如攻击者对不同的域名服务器发动攻击；(5) 具有相同攻击源，如攻击者对不同目标发动不同攻击；(6)具有相同攻击目标，如分布式攻击中不同攻击者针对同一目标不同的系统漏洞发动攻击；(7) 具有相同攻击类型，如不同攻击者针对同一漏洞发动攻击。该方法优点：方法简单，容易实现，开销小。缺点：需要事先知道相应的攻击场景，不能发现新的攻击场景2。