该发明涉及一种网络安全态势评估决策方法,特别是涉及一种基于本体的态势推理决策方法。
背景技术:
:目前,基于贝叶斯理论的推理决策是网络安全态势评估领域研究的重点之一。在不确定性问题处理领域,证据理论是另外一种有效的处理方法。证据理论是扩展了的贝叶斯理论,并克服了它的缺点。Stefan,Dimitrios等人综合考虑了本体在推理决策上的优势和贝叶斯网络在不确定性处理上的优势,提出了基于本体与贝叶斯网络的推理决策方法。首先,对网络安全相关因素进行本体建模;然后,对本体进行贝叶斯扩展,用于表示本体中的不确定性。但是,贝叶斯理论在在实践中存在如下问题:需要收集所有要求的先验条件概率和联合概率;概率公式的精度依赖于完全假设集的有效性;不能描述复合命题等。Dubois等人提出了将冲突信任在冲突焦元间进行局部分配的DP方法,在高冲突证据合成时,DP方法将冲突信任分配给冲突焦元的并集,完整的保留了冲突焦元的信任信息,有效的避免了悖论问题的产生。Mihai等人提出了依据冲突程度将冲突信息在交并集空间动态分配的方法,在冲突较大时,Mihai方法将较多的信任分配给并集命题空间,在冲突较小时,将较多的信任分配给交集命题空间。TazidAli等人认为证据理论原始组合策略对冲突的处理过于激进,提出了通过加性策略替代乘性策略的组合方法,该方法能够有效避免悖论问题的产生。Stefan,Dimitrios等人的态势推理决策方法都是基于贝叶斯网络进行设计,可有效降低存储空间和融合推理的时间复杂度。但是,贝叶斯理论在在实践中存在如下问题:需要收集所有要求的先验条件概率和联合概率;概率公式的精度依赖于完全假设集的有效性;不能描述复合命题等,其应用场景具有一定的依赖性。Dubois,Mihai,TazidAli等人的态势推理决策方法基于证据理论,是扩展了的贝叶斯理论,并克服了贝叶斯网络的缺点,扩大了态势推理决策方法的应用范围。但是,由于Dubois采用了将信任在交并集命题空间进行静态等比分配的方法,在冲突较低时,该方法仍会给并集命题空间分配信任,不利于最终的决策。Mihai方法的将每个证据同等对待,而实际上,不同证据对推理决策结果具有不同的决策能力。TazidAli方法采用的加性策略收敛效率较慢,对证据的汇集能力较差。现有方法主要是利用贝叶斯、证据理论对采集的信息直接进行融合处理,不能表达相关态势推理要素之间的关系,无法依据环境的变化进行动态调整,方法的适应性和推理结果的准确性较差。本专利试图将本体技术引入到态势推理决策过程,设计一种基于本体与证据理论的态势推理决策方法,充分表达态势信息及其之间的逻辑关系,并适应态势信息的动态变化特征,以期能够解决上述技术问题。技术实现要素:本发明克服了现有技术中,态势感知结果准确性有待提高的问题,提供一种适应能力强、态势感知结果准确性比较高的基于本体的态势推理决策方法。本发明的技术解决方案是,提供一种具有以下步骤的基于本体的态势推理决策方法:含有以下步骤:首先,基于本体与证据理论对态势推理决策过程进行建模,充分表达态势推理要素之间的关联关系;其次,在本体与证据理论之间的进行映射,建立态势要素关系描述与融合推理之间的桥梁,为后期的融合处理奠定基础;然后,对本体进行实例化,输入态势要素实例;最后,通过改进的证据理论对态势要素进行融合,依据可信度对证据组合权重进行自适应调整,并动态调整组合规则。所述态势推理的建模过程中,异构信息分为两层:低层采集的异构信息和高层推理出的异构信息,通过证据集和识别框架与本体之间的映射,可把两者有机关联起来,建立基于本体与证据理论的推理决策模型,该模型主要包括支持证据理论的类和支持推理判定的类。所述支持证据理论的类有6个,InfluenceClass,EvidenceClass,InfluenceValue,EvidenceValue,Relation和Event,其中,Influence类Class表示专家对证据影响的判定,Evidence类表示证据,InfluenceValue类表示InfluenceClass所有可能取值的集合,EvidenceValue类表示EvidenceClass所有取值的集合,Relation表示证据与影响类之间的关联关系,Event类表示构成证据的关键安全事件。所述支持推理判定的类有3个,DecisionRule,SituationDecision和DecisionValue;其中,DecisionRule类表示推理决策规则,SituationDecision类表示判定结果和DecisionValue表示Decision所有可能取值的集合。所述基于本体与证据理论的推理决策模型的建立过程如下:若Θ表示识别框架,E表示证据空间,Θ和E均为有限集,F:E→Θ表示证据空间E到识别框架空间Θ的映射,m表示基本信度分配,则D={Θ,E,F,m}称为证据结构。所述本体的实例化过程为:(1)抽取本体推理决策模型中的不确定性概念,包括不确定性类和不确定性对象属性;(2)通过映射关系,为态势要素赋值,对推理决策模型中的不确定性进行实例化封装。所述通过改进的证据理论对态势要素进行融合的过程中采用Shafer提出的证据修正方法,其表达式如下:mi′(A)=wimi(A),mi′(Θ)=1-wi+wimi(Θ),,∀A⋐Θ]]>其中,w1,…,wi,…,wn表示证据i的权重,当wi=1时,表示证据是完全可靠的,其对应的信任值不需要改变;当wi=0时,表示证据完全不可靠,其信任值完全分配给论域Θ,使得mi'(Θ)=1;wi的度量方法如下:假设n个证据构成的证据向量为E=(E1,E2,…,En),则证据i和j间的冲突可表示为:kij=ΣAi∩Bj=φm(Ai)m(Bj),i≠j0,i=j]]>利用公式(6)可进一步计算证据E的冲突矩阵K;kij反映的是证据i和j之间的局部冲突度,通过累加与其它证据的冲突,可以获得证据i的全局冲突度,它反映的是其它证据对证据i冲突的支持程度,证据i的冲突支持度可表示为:SUP(Ci)=Σj=1nkijΣi=1n(Σj=1nkij)]]>一个证据与其它证据间的冲突越小,表明其它证据对该证据的支持程度越高,该证据的可信性越高,在证据组合时应为其分配较高的权重;反之,若一个证据与其它证据间的冲突越大,该证据的可信性越低,在证据组合时应为其分配较小的权重;SUP(Ci)从全局的视角较好地反映了证据i与其它所有证据之间的冲突关系,因此,可将其作为衡量证据可信程度的参考依据;设证据的可信度为R,则证据i的可信度ri可表示为:ri=1-SUP(Ci)由上式可以看出,当SUP(Ci)=0时,ri=1;SUP(Ci)=1时,ri=0;依据SUP(Ci)与ri的变化特点可以看出,ri能够较好的反映证据的可信程度;对于n个组合证据,计算每条证据的可信度,获得证据的可信度向量{r1,…,ri,…,rn};设证据的权重为W,则证据i的权重wi可表示为:wi=riΣ1nri]]>从而获得由每个证据的重要程度构成的权重向量{w1,…,wi,…,wn};结合修正信度公式,改进了组合规则,公式如下:m(A)=m1⊕m2=ΣB∩C=Aw1m1(B)w2m2(C)+ΣB∪C=Aw1m1(B)w2m2(C).]]>与现有技术相比,本发明基于本体的态势推理决策方法具有以下优点:能够充分表达态势要素之间的关系,融合推理过程能够依据态势信息的变化,对组合权重进行动态调整,具有较强的适应性,较高的处理效率和准确性。基本目标是为了设计一种适应能力强、准确性高的态势推理决策方法,提高态势推理的适应性、处理效率和准确性。附图说明图1是本发明基于本体的态势推理决策方法中基于本体与证据理论的推理决策的示意图;图2是本发明基于本体的态势推理决策方法中证据结构与本体之间的映射示意图。具体实施方式下面结合附图和具体实施方式对本发明基于本体的态势推理决策方法作进一步说明:如图所示,本实施例中将证据理论和本体建模相结合,构建了基于本体与证据理论的推理决策模型,提出了基于本体与证据理论的态势推理决策方法。该方法的基本思想是,将推理决策过程分为四个层次:首先,基于本体与证据理论对态势推理决策过程进行建模;其次,在本体与证据理论之间的进行映射,建立态势要素关系描述与融合推理之间的桥梁;然后,对本体进行实例化,输入态势要素实例;最后,依据改进的证据理论对态势要素进行融合。利用本体技术和证据理论,该方法将异构态势信息的表达与融合处理的有机融合,既能够充分反映异构信息之间的逻辑关系,又基于本体进行确定性推理和不确定性推理,有效的解决了多源异构信息的态势感知与推理。该方法实现了将态势信息表达与融合处理的有机融合,既能够充分反映异构信息之间的逻辑关系,又基于改进证据理论进行不确定性推理,有效的解决了多源异构信息的态势推理与决策问题。推理决策过程共分为四个阶段:态势推理建模、态势本体映射、态势本体实例化和证据融合。以下是本发明技术方案技术要点的详细阐述:1、态势推理建模证据理论又称为Dempster-ShaferTheory,最初在1967年由Dempster正式创立。1976年,其学生Shafer对该理论进行了改进,提出了针对两个独立信息源的证据的合成法则,即Dempster合成法则。在证据理论中,所有研究对象的全体称为一个辨识框架,框架中元素取值都是离散的,并且两两互斥,每个元素称为一个基元。证据理论的核心问题是:已知待辨识框架,根据给定信息判断框架中一个未定的元素属于中某个子集的程度,由此引入了证据理论的基础--基本概率指派函数。定义1、识别框架Θ表示一个互斥又可穷举元素的集合,即Θ={θ1,θ2,…θn},2θ表示Θ所有子集的集合。定义2、基本概率分配BPA是一个映射m:2Θ→[0,1],且满足下列条件:0≤m(A)≤1(1)ΣA⋐2Θm(A)=1---(2)]]>m(φ)=o(3)定义3、Dempster规则形式化定义如下:设识别框架Θ的n个证据为(E1,E2,…,En),其对应的基本信任分配函数为mi(i=1,2,3…,n),则对这n个证据得出的组合证据信度分配函数为:m(A)=0,A=φ(1-k)-1Σ∩Ai=AΠi=1nmi(Ai),A≠φ---(4)]]>其中,k的大小反映的是两条证据之间的冲突程度,常称为冲突系数,取值范围为[0,1]。其越接近于1,表示两条证据之间冲突越大,即专家意见之间分歧越大;反之,越接近于0,表示冲突越小,专家之间分歧越小,意见一致性越高。系数1/(1-k)为归一化因子,目的是防止将非零值赋给空集。证据理论自身并不具备对异构信息及其关系表达的能力,从而导致其在复杂应用环境中的局限性。为此,必须借助于一种能够有效表达异构信息之间关系的手段,才能突破证据理论的在实际应用中的局限性。证据理论用识别框架Θ表示需要融合处理的命题集合。在本体建模过程中,异构信息分为两层:低层采集的异构信息和高层推理出的异构信息。通过证据集和识别框架与本体之间的映射,可把两者有机关联起来,建立基于本体与证据理论的推理决策模型,如图1所示。该模型主要包括支持证据理论的类和支持推理判定的类。支持证据理论的类有6个,InfluenceClass,EvidenceClass,InfluenceValue,EvidenceValue,Relation和Event。其中,Influence类Class表示专家对证据影响的判定,Evidence类表示证据,InfluenceValue类表示InfluenceClass所有可能取值的集合,EvidenceValue类表示EvidenceClass所有取值的集合,Relation表示证据与影响类之间的关联关系,Event类表示构成证据的关键安全事件。支持推理判定的类有3个,DecisionRule,SituationDecision和DecisionValue。其中,DecisionRule类表示推理决策规则,SituationDecision类表示判定结果和DecisionValue表示Decision所有可能取值的集合。在这些类中,最重要的是Influence类和Evidence类,这两个类对应到本体层次结构中就是高层推理信息和低层异构信息。此外,为了提高推理决策的实时性,为每个类包含时间属性hasTime,标明信息的获取时间。类InfluenceValue和EvidenceValue的属性hasProb表示取值的可信度。Relation类的数据属性hasBPAValue表示基本概率分配值,Relation类的对象属性consTo表示基本概率分配值所属的证据,Relation类的对象属性hasBPA基本概率分配值所属的结论。2、态势本体映射证据理论利用组合规则实现从证据集到结论集的映射,通过证据的逐渐累加消除证据自身的不确定性,从而提高推理决策结果的精确性。为实现图1中的推理决策模型,关键就是要实现证据理论的本体化,即建立证据到本体元素的映射。首先,建立如下证据结构。定义4、证据结构若Θ表示识别框架,E表示证据空间,Θ和E均为有限集,F:E→Θ表示证据空间E到识别框架空间Θ的映射,m表示基本信度分配,则D={Θ,E,F,m}称为证据结构。本专利依据基于本体与证据理论的推理决策模型,构建证据结构D={Θ,E,F,m},创建由本体到证据理论的映射,为后期的证据融合奠定基础。证据结构与本体之间的映射如图2所示。3、态势本体实例化将态势要素实例输入到基于本体的态势推理模型,实现态势推理模型的实例化。其实例化过程为:(1)抽取本体推理决策模型中的不确定性概念,包括不确定性类和不确定性对象属性;(2)通过映射关系,为态势要素赋值,对推理决策模型中的不确定性进行实例化封装。4、证据融合经典证据理论将冲突信任在各焦元间进行均等分配,且参与组合的各个证据在组合过程中也是均等的。而事实上,不同证据源对目标的决策能力是不同的,即证据的可靠性是不同的。因此,有必要对证据的可信程度进行评价,然后依据可信度对证据进行适当修正,以反映证据源对目标的决策能力。本专利采用Shafer提出的证据修正方法,其表达式如下。mi′(A)=wimi(A),mi′(Θ)=1-wi+wimi(Θ),,∀A⋐Θ---(5)]]>其中,w1,…,wi,…,wn表示证据i的权重。当wi=1时,表示证据是完全可靠的,其对应的信任值不需要改变;当wi=0时,表示证据完全不可靠,其信任值完全分配给论域Θ,使得mi'(Θ)=1。wi的度量方法如下:假设n个证据构成的证据向量为E=(E1,E2,…,En),则证据i和j间的冲突可表示为:kij=ΣAi∩Bj=φm(Ai)m(Bj),i≠j0,i=j---(6)]]>利用公式(6)可进一步计算证据E的冲突矩阵K。kij反映的是证据i和j之间的局部冲突度,通过累加与其它证据的冲突,可以获得证据i的全局冲突度,它反映的是其它证据对证据i冲突的支持程度。定义5、冲突支持度证据i的冲突支持度可表示为:SUP(Ci)=Σj=1nkijΣi=1n(Σj=1nkij)---(8)]]>一个证据与其它证据间的冲突越小,表明其它证据对该证据的支持程度越高,该证据的可信性越高,在证据组合时应为其分配较高的权重;反之,若一个证据与其它证据间的冲突越大,该证据的可信性越低,在证据组合时应为其分配较小的权重。SUP(Ci)从全局的视角较好地反映了证据i与其它所有证据之间的冲突关系,因此,可将其作为衡量证据可信程度的参考依据。定义6、证据可信度设证据的可信度为R,则证据i的可信度ri可表示为:ri=1-SUP(Ci)(9)由式(9)可以看出,当SUP(Ci)=0时,ri=1;SUP(Ci)=1时,ri=0。依据SUP(Ci)与ri的变化特点,可以看出,ri能够较好的反映证据的可信程度。对于n个组合证据,采用式(6)-式(9)计算每条证据的可信度,获得证据的可信度向量{r1,…,ri,…,rn}。设证据的权重为W,则,证据i的权重wi可表示为:wi=riΣ1nri---(10)]]>从而获得由每个证据的重要程度构成的权重向量{w1,…,wi,…,wn}。Mihai方法提出了基于合取与析取动态组合的证据融合方法,在冲突高时,将冲突信任分配给析取规则;在冲突低时,将较多的冲突信任分配给合取规则,有效地解决了证据间高度冲突时证据理论的不足。但是该方法的并未考虑证据源的可靠性,因此,推理模型不具有自适应性,因此本专利结合修正信度公式,改进了组合规则,公式如下:m(A)=m1⊕m2=ΣB∩C=Aw1m1(B)w2m2(C)+ΣB∪C=Aw1m1(B)w2m2(C)---(11)]]>式(11)的特点:反映了证据间不同的重要性和可靠性;合取规则与析取规则的动态组合解决了冲突证据合成中的Zadeh悖论问题,有效的利用了所有证据所提供的信息,避免了证据信息的损失。当前第1页1 2 3