基于模糊粗糙集的网络安全态势评估方法
【技术领域】
[0001] 本发明是关于网络安全态势评估方法,特别涉及基于模糊粗糙集的网络安全态势 评估方法。
【背景技术】
[0002] 随着网络规模的不断扩大和趋于复杂,网络的安全威胁也日益加剧。各类日志与 报警信息形式多样、格式不一,且冗余较大、误警率高,传统的处理方式已难以应对。在此背 景下,为应对大规模网络和多源安全信息,从传统的安全评估衍生出了网络安全态势感知 (networksecuritysituationawareness,NSSA)。网络安全态势感知包含态势理解、态势 评估、态势预测及态势可视化4个环节。
[0003] 态势评估是网络安全态势感知的核心环节,也是数据融合领域的研究重点。网络 态势评估方法大致可分为3类:基于数学模型的方法、基于知识推理的方法和基于模式识 别的方法。其中,基于数学模型的方法可细分为层次分析法、集对分析法等;基于知识推理 的方法可分为基于图模型的方法、基于证据理论的方法等;基于模式识别的方法可分为灰 关联分析方法、粗糙集合方法和神经网络方法等。网络态势评估即在融合各安全信息并进 行简单处理的基础上,通过一些数学方法或者数学模型,经过分析,得到一个对当前网络安 全状态的整体描述。简言之,该过程即态势因子集合到态势集合的映射。态势因子是指可 以引起网络态势变化的因素,由网络安全信息抽象得到。
[0004] 对于网络态势评估方法中的粗糙集方法,由于粗糙集方法不需要先验知识,适合 进行网络态势评估的属性约简,但在处理实数型属性值上存在需要离散化的问题,离散化 将损失精度,同时,不同的离散化方法或者同一离散化方法设定不同的参数可能导致不同 的结果。为解决实数连续属性需要离散化的问题,模糊粗糙集方法作为粗糙集方法的一种 推广,是一种可行的方法,但计算复杂度过高。
【发明内容】
[0005] 本发明的主要目的在于克服现有技术中的不足,提供计算时间复杂度大大降低, 并能提供良好决策结果的基于模糊粗糙集的网络安全态势评估方法。为解决上述技术问 题,本发明的解决方案是:
[0006] 提供基于模糊粗糙集的网络安全态势评估方法,具体包括下述步骤:
[0007] (1)获取态势因子与态势等级,构成态势等级关于态势因子的决策表;决策表的 每一行为一条决策规则,每条决策规则包括各个态势因子的取值和态势等级的取值;
[0008] 所述态势因子是指能引起网络态势变化的因素,由网络安全信息抽象得到(比如 将监测数据、日志等作为态势因子),在决策表中,态势因子为条件属性,取值类型包括离散 型和连续型;
[0009] 所述态势等级是对网络态势的衡量(如正常、紧急、高危等),在决策表中态势等 级为决策属性,取值类型为离散型;
[0010] (2)对步骤(1)得到的决策表中,具有相同离散型条件属性值且有相同决策属性 值的决策规则进行聚合,即将这些决策规则中的连续实数值聚合成区间值;
[0011] (3)步骤(2)聚合后得到包含离散属性和区间值属性的决策表,对其中不同类型 属性值间(包括离散属性值和区间属性值)的相似程度进行定义,构成模糊相似关系;
[0012] (4)将步骤(3)通过相似性定义得到的模糊相似关系,表示为模糊相似矩阵,并定 义在模糊关系上模糊粗糙集的上近似、下近似;然后利用定义的模糊粗糙集的上下近似,定 义模糊正域和基于模糊正域的依赖函数;
[0013] 再基于模糊正域的方法对决策表中的态势因子进行属性约简(属性约简只是对 态势因子进行约简,即获得一个态势因子的子集,态势因子的取值类型经过聚合后只有区 间型和离散型),即当一个属性子集下的依赖函数的取值与属性全集上的依赖函数的取值 相同,按照模糊粗糙集的定义,将该属性子集看做是属性全集的一个约简;
[0014] (5)利用步骤⑷得到约简后的决策表,并通过KNN分类器对当前网络需要判断的 数据进行决策,得到态势等级。
[0015] 在本发明中,所述步骤(1)中的决策表是一个四元组DT=<U,QjD,V,f>;
[0016] 其中,U是一个非空有限集;C是一个非空有限条件属性集;D是决策属性;V是所 有属性值域的并,即V=UaEOTVa,Va是在属性a上的V的所有可能取值;函数f:UXC-V 是从元素xeU和属性为G(:u/)到Va的一个映射,即f(a,x)eVa,f(a,χ)是元素χ在 属性a上的取值。
[0017] 在本发明中,所述步骤(2)中,对相同离散型条件属性值且有相同决策属性 值的决策规则中,连续实数值进行聚合,具体方式为:intervalja) = [mir^Vja)), max(V;(a))];
[0018] 其中,a代表某个连续实数属性,i代表在a上离散属性值都相同的某个集合的 序号,1代表该集合上某个连续属性的取值的集合,mnKVja))是集合上属性a的最小值, max(a))是集合上属性a的最大值,intervali(a)表示聚合后的区间。
[0019] 在本发明中,所述步骤(3)中,对决策表中不同类型的属性值间的相似程度定义 如下: (0, :β(χ}ν)
[0020] 当属性值a(χ)、a(y)是布尔值时,属性值的距离定义为卿即 属性值相同时为〇,不同时为1,则属性值的相似性定义爻
[0021]当属性值a(X)、a(y)是类别值时,属性值的距离定义为
属性值的相似性定义为 1 * ''ΛΙ,'.ΙΟ '··、.··' i >I
[0022] 其中,U/D表示全集U在属性集D上的划分,a(x) 1山表示属性a上与元素x属性 值相同的元素的集合与决策属性集划分的一个分块的交集,1*1代表集合中元素的个数;
[0023]当属性值是区间值时,对于两个区间值A=[a,a+]和B=[b,b+],A大于B的 概率定义为
K间值A和B的相似性定义为SAB = 1_ I P(A > Β)~Ρφ > A) I 0
[0024] 在本发明中,所述步骤(4)中,模糊粗糙集的上下近似利用T算子(t-norm)和I 算子(模糊蕴含算子)进行定义,其定义形式如下:
[0025] 下近似
[0026] 上近似
>
[0027] 其中,R是模糊关系,A是模糊集,X和y都是全集U上的兀素;T是二角模算子,I 是模糊蕴含算子(在实际操作中,需要指定具体的算子,比如T算子用最小值算子TM(a,b) =min(a,b),I算子用最大值算子4,?)η獄(卜) /〇
[0028] 在本发明中,所述步骤(4)中,模糊正域定义为:
[0029]
[0030]其中,C是条件属性集合,D是决策属性,pos表示正域,X表示任意元素,U/D表示 所有元素在决策属性D上的划分,表示划分中的一个集合X在条件属性集合C下的 :與? 下近似当中元素为X时的取值;
[0031] 基于模糊正域的依赖函数定义为:
[0032]
[0033] 其中,C是条件属性集合,D是决策属性,|U|表示所有元素的个数, 办)表不所有兀素正域的和。
[0034] 在本发明中,所述步骤(4)中,对属性全集计算属性约简采用启发式方法:从空集 的属性子集开始,不断向属性子集中添加属性全集中的剩余属性,每添加一个属性使属性 子集的依赖函数值递增,直至属性子集的依赖函数值与属性全集的依赖函数值相同,得到 的属性子集即为该属性全集的约简。约简步骤举例如下:
[0035]
[0036] 在本发明中,所述步骤(5)中KNN分类器的分类方法具体如下:
[0037] 选择满足属性条件最多的规则,当有多条满足全部属性条件的规则时,若决策属 性一致,则选择该决策属性进行决策,若决策属性不一致,选择其中频数最大的决策属性作 为最终决策;
[0038] 所述满足属性条件定义为:对于离散属性,相同即为满足条件;对于区间值属性, 属性值落在区间内即为满足条件。
[0039] 与现有技术相比,本发明的有益效果是:
[0040] 本发明解决了粗糙集方法中实数连续属性需要离散化的问题,另一方面,采用规 则聚合的方式,降低了模糊粗糙集方法的计算复杂度,同时,能提供良好的决策结果。
【附图说明】
[0041] 图1为本发明的工作流程图。
【具体实施方式】
[0042] 下面结合附图与【具体实施方式】对本发明作进一步详细描述:
[0043] 如图1所示的基于模糊粗糙集的网络安全态势感知方法,具体实现方式为:
[0044] 收集态势因子和态势等级得到一张决策表,一张决策表是一个四元组DT=〈U, CJ),V,f>。其中,U是一个非空有限集;C是一个非空有限条件属性集;D是决策属性;V是所 有属性值域的并,即V=UaEOTVa,Va是在属性a上的V的所有可能取值。函数f:UXC-V 是从元素xeu和属性Vae(?υ/_)到Va的一个映射,即f(a,x)eva,f(a,x)是元素x在 属性a上的取值。
[0045] 决策表举例如下:
[0046]
[0047