] 在获得决策表之后,对离散属性值及决策属性值相同的决策规则进行聚合,通过 观察可知,上述决策表中对象xl和x2在al,a3,d上的属性值都相同,而a2为实数型属性, 对于离散类型属性值相同的规则进行聚合,实数型属性值聚合成区间,分别用这些规则该 属性上的最小值和最大值表示左右区间,聚合后的决策表表示如下:
[0048]
[0049] 此时,xl与x2合并为一个对象,属性a2也从原来的实数值类型属性变成了现在 的区间值类型属性。
[0050] 聚合后我们得到的是包含离散属性和区间值属性的决策表,为了导出模糊相似关 系,需要定义属性值间的相似性,由于属性类型的不同,不同类型需要不同的定义方法:
[0051] 当属性值是布尔值时,属性值的距离定义戈
属性 值的相似性定义为
以上述决策表举例,db(a3 (X),a3 (x2)) =0,db(a3 (xj,a3 (x3)) = 1 〇
[0052] 当属性值是类别值时,属性值的距离定义为
U/D表示U在决策属性集D上的划分。属性值的相似性定义为
以上述决策表举例,
[0053] 当属性值是区间值时,对于两个区间值A= [a,a+]和B= [b,b+],A大于B 的概率定义为
区间值A和B的相似性定义为SAB =I。下面举例说明,给定两个区间值分别为A= [3,5]和B= [2,4],
;AB = 1_IP(A>B) _P(B>A)I= 〇· 5 〇
[0054] 通过相似性的定义,将得到一个模糊相似矩阵,继而定义在模糊关系上的模糊粗
糙集,模糊粗糙集的上下近似定义为 ,} ? 其中T是T算子(三角模算子),I是模糊蕴含算子。在实际操作中,需要指定具体 的算子,比如τ算子可用最小值算子TM (a,b) =min(a,b),I算子可用最大值算子
[0055] 举例说明,假设一个模糊相似矩阵为
策属性d导出的划分 为{χρx2}和{x3},表示成模糊集为山={1,1,0}和d2= {0,0,1}。T算子和I算子分别 以最小值算子和最大值算子为例,Xl的模糊上下近似为
[0056] '
〇
[0057] 对于获得的上下近似,可以定义正域,以及依赖函数,正域的定义为 .
. 也即下近似,依赖函数的定义为 xgX xgX Jο
也即每个元素的下近似的和比上元素个数。
[0058] 基于正域的属性约简方法的原理在于,假如一个属性子集的依赖函数值与属性全 集的依赖函数值相同,该属性子集可以看做是一个约简。计算属性约简的过程采用启发式 的方法。从空集开始,不断添加属性,每一步使依赖函数递增,直至依赖函数值与在所有条 件属性上的依赖函数值相同,算法停止。
[0059] 对于得到的约简后的决策表,采用ΚΝΝ分类器进行分类决策。一个可能的决策表 结果表示如下:
[0060]
[0061]
[0062] 则对于一条需要判断的测试数据,如,
[0063]
[0064] 显然符合对象x5的规则有xl,x2和x4,最终的决策值为1、1、0。选取频数最大的 决策值作为最后的决策值,即最后的决策为d= 1。
[0065] 最后,需要注意的是,以上列举的仅是本发明的具体实施例。显然,本发明不限于 以上实施例,还可以有很多变形。本领域的普通技术人员能从本发明公开的内容中直接导 出或联想到的所有变形,均应认为是本发明的保护范围。
【主权项】
1. 基于模糊粗糙集的网络安全态势评估方法,其特征在于,具体包括下述步骤: (1) 获取态势因子与态势等级,构成态势等级关于态势因子的决策表;决策表的每一 行为一条决策规则,每条决策规则包括各个态势因子的取值和态势等级的取值; 所述态势因子是指能引起网络态势变化的因素,由网络安全信息抽象得到,在决策表 中,态势因子为条件属性,取值类型包括离散型和连续型; 所述态势等级是对网络态势的衡量,在决策表中态势等级为决策属性,取值类型为离 散型; (2) 对步骤(1)得到的决策表中,具有相同离散型条件属性值且有相同决策属性值的 决策规则进行聚合,即将这些决策规则中的连续实数值聚合成区间值; (3) 步骤(2)聚合后得到包含离散属性和区间值属性的决策表,对其中不同类型属性 值间的相似程度进行定义,构成模糊相似关系; (4) 将步骤⑶通过相似性定义得到的模糊相似关系,表示为模糊相似矩阵,并定义在 模糊关系上模糊粗糙集的上近似、下近似;然后利用定义的模糊粗糙集的上下近似,定义模 糊正域和基于模糊正域的依赖函数; 再基于模糊正域的方法对决策表中的态势因子进行属性约简,即当一个属性子集下的 依赖函数的取值与属性全集上的依赖函数的取值相同,按照模糊粗糙集的定义,将该属性 子集看做是属性全集的一个约简; (5) 利用步骤(4)得到约简后的决策表,并通过KNN分类器对当前网络需要判断的数据 进行决策,得到态势等级。2. 根据权利要求1所述的基于模糊粗糙集的网络安全态势评估方法,其特征在于,所 述步骤⑴中的决策表是一个四元组DT=<U,CUD,V,f>; 其中,U是一个非空有限集;C是一个非空有限条件属性集;D是决策属性;V是所有属 性值域的并,即V=U 在属性a上的V的所有可能取值;函数f:UXC U D-V 是从元素Xe U和属性V'£V€ΓU/)到Va的一个映射,即f(a,X)e Va,f(a,X)是元素X在 属性a上的取值。3. 根据权利要求1所述的基于模糊粗糙集的网络安全态势评估方法,其特征在于,所 述步骤(2)中,对相同离散型条件属性值且有相同决策属性值的决策规则中,连续实数值 进行聚合,具体方式为:intervalja) = [η?η(?)),ηκχ(?))]; 其中,a代表某个连续实数属性,i代表在a上离散属性值都相同的某个集合的序 号,1代表该集合上某个连续属性的取值的集合,min(Vi(a))是集合上属性a的最小值, maxi?))是集合上属性a的最大值,interval?表示聚合后的区间。4. 根据权利要求1所述的基于模糊粗糙集的网络安全态势评估方法,其特征在于,所 述步骤(3)中,对决策表中不同类型的属性值间的相似程度定义如下: 当属性值a(X)、a(y)是布尔值时,属性值的距离定义为当属性值a(x)、a(y)是类别值时,属性值的距离定义为其中,U/D表示全集U在属性集D上的划分,a(X) i山表示属性a上与元素X属性值相 同的元素的集合与决策属性集划分的一个分块的交集,|*|代表集合中元素的个数; 当属性值是区间值时,对于两个区间值A= [a,a+]和B= [b,b+],A大于B的概I P(A > Β)~Ρφ > A) I 05. 根据权利要求1所述的基于模糊粗糙集的网络安全态势评估方法,其特征在于,所 述步骤(4)中,模糊粗糙集的上下近似利用T算子和I算子进行定义,其定义形式如下:其中,R是模糊关系,A是模糊集,X和y都是全集U上的兀素;T是二角模算子,I是模 糊蕴含算子。6. 根据权利要求1所述的基于模糊粗糙集的网络安全态势评估方法,其特征在于,所 述步骤(4)中,模糊正域定义为:其中,C是条件属性集合,D是决策属性,pos表示正域,X表示任意元素,U/D表示所有似当中元素为X时的取值; 基于模糊正域的依赖函数定义为:其中,C是条件属性集合,D是决策属性,|U|表示所有元素的个数,友 示所有元素止域的和。7. 根据权利要求1所述的基于模糊粗糙集的网络安全态势评估方法,其特征在于,所 述步骤(4)中,对属性全集计算属性约简采用启发式方法:从空集的属性子集开始,不断向 属性子集中添加属性全集中的剩余属性,每添加一个属性使属性子集的依赖函数值递增, 直至属性子集的依赖函数值与属性全集的依赖函数值相同,得到的属性子集即为该属性全 集的约简。8.根据权利要求1所述的基于模糊粗糙集的网络安全态势评估方法,其特征在于,所 述步骤(5)中KNN分类器的分类方法具体如下: 选择满足属性条件最多的规则,当有多条满足全部属性条件的规则时,若决策属性一 致,则选择该决策属性进行决策,若决策属性不一致,选择其中频数最大的决策属性作为最 终决策; 所述满足属性条件定义为:对于离散属性,相同即为满足条件;对于区间值属性,属性 值落在区间内即为满足条件。
【专利摘要】本发明涉及网络安全态势评估方法,旨在提供基于模糊粗糙集的网络安全态势评估方法。该基于模糊粗糙集的网络安全态势评估方法包括步骤:获取态势因子与态势等级,构成态势等级关于态势因子的决策表;对决策表中决策规则的态势因子进行属性约简,得到约简后的决策表,然后利用约简后的决策表,可通过KNN分类器对当前网络需要判断的数据进行决策,得到态势等级。本发明解决了粗糙集方法中实数连续属性需要离散化的问题,另一方面,采用规则聚合的方式,降低了模糊粗糙集方法的计算复杂度,同时,能提供良好的决策结果。
【IPC分类】H04L29/06
【公开号】CN105306438
【申请号】CN201510593297
【发明人】范渊, 王吉文, 苏华仕
【申请人】杭州安恒信息技术有限公司
【公开日】2016年2月3日
【申请日】2015年9月17日