CN105306438B - 基于模糊粗糙集的网络安全态势评估方法 - Google Patents

Abstract

本发明涉及网络安全态势评估方法，旨在提供基于模糊粗糙集的网络安全态势评估方法。该基于模糊粗糙集的网络安全态势评估方法包括步骤：获取态势因子与态势等级，构成态势等级关于态势因子的决策表；对决策表中决策规则的态势因子进行属性约简，得到约简后的决策表，然后利用约简后的决策表，可通过KNN分类器对当前网络需要判断的数据进行决策，得到态势等级。本发明解决了粗糙集方法中实数连续属性需要离散化的问题，另一方面，采用规则聚合的方式，降低了模糊粗糙集方法的计算复杂度，同时，能提供良好的决策结果。

Description

基于模糊粗糙集的网络安全态势评估方法

技术领域

本发明是关于网络安全态势评估方法，特别涉及基于模糊粗糙集的网络安全态势评估方法。

背景技术

随着网络规模的不断扩大和趋于复杂，网络的安全威胁也日益加剧。各类日志与报警信息形式多样、格式不一，且冗余较大、误警率高，传统的处理方式已难以应对。在此背景下，为应对大规模网络和多源安全信息，从传统的安全评估衍生出了网络安全态势感知(network security situation awareness，NSSA)。网络安全态势感知包含态势理解、态势评估、态势预测及态势可视化4个环节。

态势评估是网络安全态势感知的核心环节，也是数据融合领域的研究重点。网络态势评估方法大致可分为3类：基于数学模型的方法、基于知识推理的方法和基于模式识别的方法。其中，基于数学模型的方法可细分为层次分析法、集对分析法等；基于知识推理的方法可分为基于图模型的方法、基于证据理论的方法等；基于模式识别的方法可分为灰关联分析方法、粗糙集合方法和神经网络方法等。网络态势评估即在融合各安全信息并进行简单处理的基础上，通过一些数学方法或者数学模型，经过分析，得到一个对当前网络安全状态的整体描述。简言之，该过程即态势因子集合到态势集合的映射。态势因子是指可以引起网络态势变化的因素，由网络安全信息抽象得到。

对于网络态势评估方法中的粗糙集方法，由于粗糙集方法不需要先验知识，适合进行网络态势评估的属性约简，但在处理实数型属性值上存在需要离散化的问题，离散化将损失精度，同时，不同的离散化方法或者同一离散化方法设定不同的参数可能导致不同的结果。为解决实数连续属性需要离散化的问题，模糊粗糙集方法作为粗糙集方法的一种推广，是一种可行的方法，但计算复杂度过高。

发明内容

本发明的主要目的在于克服现有技术中的不足，提供计算时间复杂度大大降低，并能提供良好决策结果的基于模糊粗糙集的网络安全态势评估方法。为解决上述技术问题，本发明的解决方案是：

提供基于模糊粗糙集的网络安全态势评估方法，具体包括下述步骤：

(1)获取态势因子与态势等级，构成态势等级关于态势因子的决策表；决策表的每一行为一条决策规则，每条决策规则包括各个态势因子的取值和态势等级的取值；

所述态势因子是指能引起网络态势变化的因素，由网络安全信息抽象得到(比如将监测数据、日志等作为态势因子)，在决策表中，态势因子为条件属性，取值类型包括离散型和连续型；

所述态势等级是对网络态势的衡量(如正常、紧急、高危等)，在决策表中态势等级为决策属性，取值类型为离散型；

(2)对步骤(1)得到的决策表中，具有相同离散型条件属性值且有相同决策属性值的决策规则进行聚合，即将这些决策规则中的连续实数值聚合成区间值；

(3)步骤(2)聚合后得到包含离散属性和区间值属性的决策表，对其中不同类型属性值间(包括离散属性值和区间属性值)的相似程度进行定义，构成模糊相似关系；

(4)将步骤(3)通过相似性定义得到的模糊相似关系，表示为模糊相似矩阵，并定义在模糊关系上模糊粗糙集的上近似、下近似；然后利用定义的模糊粗糙集的上下近似，定义模糊正域和基于模糊正域的依赖函数；

再基于模糊正域的方法对决策表中的态势因子进行属性约简(属性约简只是对态势因子进行约简，即获得一个态势因子的子集，态势因子的取值类型经过聚合后只有区间型和离散型)，即当一个属性子集下的依赖函数的取值与属性全集上的依赖函数的取值相同，按照模糊粗糙集的定义，将该属性子集看做是属性全集的一个约简；

(5)利用步骤(4)得到约简后的决策表，并通过KNN分类器对当前网络需要判断的数据进行决策，得到态势等级。

在本发明中，所述步骤(1)中的决策表是一个四元组DT＝<U，C_UD，V，f>；

其中，U是一个非空有限集；C是一个非空有限条件属性集；D是决策属性；V是所有属性值域的并，即V＝U_a∈CUDV_a，V_a是在属性a上的V的所有可能取值；函数f：U×C_UD→V是从元素x∈U和属性到V_a的一个映射，即f(a，x)∈V_a，f(a，x)是元素x在属性a上的取值。

在本发明中，所述步骤(2)中，对相同离散型条件属性值且有相同决策属性值的决策规则中，连续实数值进行聚合，具体方式为：int erval_i(a)＝[min(V_i(a))，max(V_i(a))]；

其中，a代表某个连续实数属性，i代表在a上离散属性值都相同的某个集合的序号，V_i代表该集合上某个连续属性的取值的集合，mm(V_i(a))是集合上属性a的最小值，max(V_i(a))是集合上属性a的最大值，int ervali(a)表示聚合后的区间。

在本发明中，所述步骤(3)中，对决策表中不同类型的属性值间的相似程度定义如下：

当属性值a(x)、a(y)是布尔值时，属性值的距离定义为即属性值相同时为0，不同时为1，则属性值的相似性定义为

当属性值a(x)、a(y)是类别值时，属性值的距离定义为属性值的相似性定义为

其中，U/D表示全集U在属性集D上的划分，a(x)1d_i表示属性a上与元素x属性值相同的元素的集合与决策属性集划分的一个分块的交集，|*|代表集合中元素的个数；

当属性值是区间值时，对于两个区间值A＝[a^-，a⁺]和B＝[b^-，b⁺]，A大于B的概率定义为区间值A和B的相似性定义为S_AB＝1-|P_(A≥B)-P_(B≥A)|。

在本发明中，所述步骤(4)中，模糊粗糙集的上下近似利用T算子(t-norm)和I算子(模糊蕴含算子)进行定义，其定义形式如下：

下近似：

上近似：

其中，R是模糊关系，A是模糊集，x和y都是全集U上的元素；T是三角模算子，I是模糊蕴含算子(在实际操作中，需要指定具体的算子，比如T算子用最小值算子T_M(a，b)＝min(a，b)，I算子用最大值算子

在本发明中，所述步骤(4)中，模糊正域定义为：

其中，C是条件属性集合，D是决策属性，pos表示正域，x表示任意元素，U/D表示所有元素在决策属性D上的划分，表示划分中的一个集合X在条件属性集合C下的下近似当中元素为x时的取值；

基于模糊正域的依赖函数定义为：

其中，C是条件属性集合，D是决策属性，|U|表示所有元素的个数，表示所有元素正域的和。

在本发明中，所述步骤(4)中，对属性全集计算属性约简采用启发式方法：从空集的属性子集开始，不断向属性子集中添加属性全集中的剩余属性，每添加一个属性使属性子集的依赖函数值递增，直至属性子集的依赖函数值与属性全集的依赖函数值相同，得到的属性子集即为该属性全集的约简。约简步骤举例如下：

在本发明中，所述步骤(5)中KNN分类器的分类方法具体如下：

选择满足属性条件最多的规则，当有多条满足全部属性条件的规则时，若决策属性一致，则选择该决策属性进行决策，若决策属性不一致，选择其中频数最大的决策属性作为最终决策；

所述满足属性条件定义为：对于离散属性，相同即为满足条件；对于区间值属性，属性值落在区间内即为满足条件。

与现有技术相比，本发明的有益效果是：

本发明解决了粗糙集方法中实数连续属性需要离散化的问题，另一方面，采用规则聚合的方式，降低了模糊粗糙集方法的计算复杂度，同时，能提供良好的决策结果。

附图说明

图1为本发明的工作流程图。

具体实施方式

下面结合附图与具体实施方式对本发明作进一步详细描述：

如图1所示的基于模糊粗糙集的网络安全态势感知方法，具体实现方式为：

收集态势因子和态势等级得到一张决策表，一张决策表是一个四元组DT＝<U，C_UD，V，f>。其中，U是一个非空有限集；C是一个非空有限条件属性集；D是决策属性；V是所有属性值域的并，即V＝U_a∈CUDV_a，V_a是在属性a上的V的所有可能取值。函数f：U×C_UD→V是从元素x∈U和属性到V_a的一个映射，即f(a，x)∈V_a，f(a，x)是元素x在属性a上的取值。

决策表举例如下：

在获得决策表之后，对离散属性值及决策属性值相同的决策规则进行聚合，通过观察可知，上述决策表中对象x1和x2在a1，a3，d上的属性值都相同，而a2为实数型属性，对于离散类型属性值相同的规则进行聚合，实数型属性值聚合成区间，分别用这些规则该属性上的最小值和最大值表示左右区间，聚合后的决策表表示如下：

此时，x1与x2合并为一个对象，属性a2也从原来的实数值类型属性变成了现在的区间值类型属性。

聚合后我们得到的是包含离散属性和区间值属性的决策表，为了导出模糊相似关系，需要定义属性值间的相似性，由于属性类型的不同，不同类型需要不同的定义方法：

当属性值是布尔值时，属性值的距离定义为属性值的相似性定义为以上述决策表举例，db(a3(x₁)，a3(x₂))＝0，db(a3(x₁)，a3(x₃))＝1。

当属性值是类别值时，属性值的距离定义为U/D表示U在决策属性集D上的划分。属性值的相似性定义为以上述决策表举例，

当属性值是区间值时，对于两个区间值A＝[a^-，a⁺]和B＝[b^-，b⁺]，A大于B的概率定义为区间值A和B的相似性定义为S_AB＝1-|P_(A≥B)-P_(B≥A)|。下面举例说明，给定两个区间值分别为A＝[3，5]和B＝[2，4]，S_AB＝1-|P_(A≥B)-P_(B≥A)|＝0.5。

通过相似性的定义，将得到一个模糊相似矩阵，继而定义在模糊关系上的模糊粗糙集，模糊粗糙集的上下近似定义为和其中T是T算子(三角模算子)，I是模糊蕴含算子。在实际操作中，需要指定具体的算子，比如T算子可用最小值算子T_M(a，b)＝min(a，b)，I算子可用最大值算子

举例说明，假设一个模糊相似矩阵为决策属性d导出的划分为{x₁，x₂}和{x₃}，表示成模糊集为d₁＝{1，1，0}和d₂＝{0，0，1}。T算子和I算子分别以最小值算子和最大值算子为例，x₁的模糊上下近似为

对于获得的上下近似，可以定义正域，以及依赖函数，正域的定义为举例也即下近似，依赖函数的定义为也即每个元素的下近似的和比上元素个数。

基于正域的属性约简方法的原理在于，假如一个属性子集的依赖函数值与属性全集的依赖函数值相同，该属性子集可以看做是一个约简。计算属性约简的过程采用启发式的方法。从空集开始，不断添加属性，每一步使依赖函数递增，直至依赖函数值与在所有条件属性上的依赖函数值相同，算法停止。

对于得到的约简后的决策表，采用KNN分类器进行分类决策。一个可能的决策表结果表示如下：

则对于一条需要判断的测试数据，如，

显然符合对象x5的规则有x1，x2和x4，最终的决策值为1、1、0。选取频数最大的决策值作为最后的决策值，即最后的决策为d＝1。

最后，需要注意的是，以上列举的仅是本发明的具体实施例。显然，本发明不限于以上实施例，还可以有很多变形。本领域的普通技术人员能从本发明公开的内容中直接导出或联想到的所有变形，均应认为是本发明的保护范围。

Claims (2)

1.基于模糊粗糙集的网络安全态势评估方法，其特征在于，具体包括下述步骤：

(1)获取态势因子与态势等级，构成态势等级关于态势因子的决策表；决策表的每一行为一条决策规则，每条决策规则包括各个态势因子的取值和态势等级的取值；

所述态势因子是指能引起网络态势变化的因素，由网络安全信息抽象得到，在决策表中，态势因子为条件属性，取值类型包括离散型和连续型；

所述态势等级是对网络态势的衡量，在决策表中态势等级为决策属性，取值类型为离散型；

所述决策表是一个四元组DT＝<U，C∪D，V，f>；

其中，U是一个非空有限集；C是一个非空有限条件属性集；D是决策属性；V是所有属性值域的并，即V＝∪_a∈C∪DV_a，V_a是在属性a上的V的所有可能取值；函数f：U×C∪D→V是从元素x∈U和属性到V_a的一个映射，即f(a，x)∈V_a，f(a，x)是元素x在属性a上的取值；

(2)对步骤(1)得到的决策表中，具有相同离散型条件属性值且有相同决策属性值的决策规则进行聚合，即将这些决策规则中的连续实数值聚合成区间值；具体方式为：interval_i(a)＝[min(V_i(a))，max(V_i(a))]；

其中，a代表某个连续实数属性，i代表在a上离散属性值都相同的某个集合的序号，V_i代表该集合上某个连续属性的取值的集合，min(V_i(a))是集合上属性a的最小值，max(V_i(a))是集合上属性a的最大值，interval_i(a)表示聚合后的区间；

(3)步骤(2)聚合后得到包含离散属性和区间值属性的决策表，对其中不同类型属性值间的相似程度进行定义，构成模糊相似关系；具体为：

当属性值a(x)、a(y)是布尔值时，属性值的距离定义为即属性值相同时为0，不同时为1，则属性值的相似性定义为

当属性值a(x)、a(y)是类别值时，属性值的距离定义为属性值的相似性定义为

其中，U/D表示全集U在属性集D上的划分，a(x)∩d_i表示属性a上与元素x属性值相同的元素的集合与决策属性集划分的一个分块的交集，|*|代表集合中元素的个数；

当属性值是区间值时，对于两个区间值A＝[a^-，a⁺]和B＝[b^-，b⁺]，A大于B的概率定义为区间值A和B的相似性定义为S_AB＝1-|P_(A≥B)-P_(B≥A)|；

(4)将步骤(3)通过相似性定义得到的模糊相似关系，表示为模糊相似矩阵，并定义在模糊关系上模糊粗糙集的上近似、下近似；模糊粗糙集的上下近似利用T算子和I算子进行定义，其定义形式如下：

下近似：

上近似：

其中，R是模糊关系，A是模糊集，x和y都是全集U上的元素；T是三角模算子，I是模糊蕴含算子；

然后利用定义的模糊粗糙集的上下近似，定义模糊正域和基于模糊正域的依赖函数；

所述模糊正域定义为：

<mrow> <msub> <mi>&amp;mu;</mi> <mrow> <msub> <mi>POS</mi> <mi>C</mi> </msub> <mrow> <mo>(</mo> <mi>D</mi> <mo>)</mo> </mrow> </mrow> </msub> <mrow> <mo>(</mo> <mi>x</mi> <mo>)</mo> </mrow> <mo>=</mo> <munder> <munder> <msub> <mi>&amp;mu;</mi> <mrow> <munder> <mi>C</mi> <mo>&amp;OverBar;</mo> </munder> <mi>X</mi> </mrow> </msub> <mrow> <mi>X</mi> <mo>&amp;Element;</mo> <mi>U</mi> <mo>/</mo> <mi>D</mi> </mrow> </munder> <mrow> <mi>x</mi> <mo>&amp;Element;</mo> <mi>X</mi> </mrow> </munder> <mrow> <mo>(</mo> <mi>x</mi> <mo>)</mo> </mrow> <mo>;</mo> </mrow>

其中，C是条件属性集合，D是决策属性，pos表示正域，x表示任意元素，U/D表示所有元素在决策属性D上的划分，表示划分中的一个集合X在条件属性集合C下的下近似当中元素为x时的取值；

基于模糊正域的依赖函数定义为：

<mrow> <msub> <mi>&amp;gamma;</mi> <mi>C</mi> </msub> <mrow> <mo>(</mo> <mi>D</mi> <mo>)</mo> </mrow> <mo>=</mo> <mfrac> <mrow> <msub> <mi>&amp;Sigma;</mi> <mrow> <mi>x</mi> <mo>&amp;Element;</mo> <mi>U</mi> </mrow> </msub> <msub> <mi>&amp;mu;</mi> <mrow> <msub> <mi>POS</mi> <mi>C</mi> </msub> <mrow> <mo>(</mo> <mi>D</mi> <mo>)</mo> </mrow> </mrow> </msub> <mrow> <mo>(</mo> <mi>x</mi> <mo>)</mo> </mrow> </mrow> <mrow> <mo>|</mo> <mi>U</mi> <mo>|</mo> </mrow> </mfrac> <mo>;</mo> </mrow>

其中，C是条件属性集合，D是决策属性，|U|表示所有元素的个数，表示所有元素正域的和；

再基于模糊正域的方法对决策表中的态势因了进行属性约简，即当一个属性了集下的依赖函数的取值与属性全集上的依赖函数的取值相同，按照模糊粗糙集的定义，将该属性子集看做是属性全集的一个约简；

该基于模糊正域的方法对决策表中的态势因子，对属性全集计算属性约简，具体采用启发式方法：从空集的属性子集开始，不断向属性子集中添加属性全集中的剩余属性，每添加一个属性使属性子集的依赖函数值递增，直至属性子集的依赖函数值与属性全集的依赖函数值相同，得到的属性子集即为该属性全集的约简；

(5)利用步骤(4)得到约简后的决策表，并通过KNN分类器对当前网络需要判断的数据进行决策，得到态势等级。

2.根据权利要求1所述的基于模糊粗糙集的网络安全态势评估方法，其特征在于，所述步骤(5)中KNN分类器的分类方法具体如下：

选择满足属性条件最多的规则，当有多条满足全部属性条件的规则时，若决策属性一致，则选择该决策属性进行决策，若决策属性不一致，选择其中频数最大的决策属性作为最终决策；

所述满足属性条件定义为：对于离散属性，相同即为满足条件；对于区间值属性，属性值落在区间内即为满足条件。