態(tài)勢(shì)感知中的數(shù)據(jù)融合和決策方法綜述

1、態(tài)勢(shì)感知中的數(shù)據(jù)融合和決策方法綜述作者簡(jiǎn)介：蓋偉麟(1987-),男，碩士研究生，主研方向：網(wǎng)絡(luò)與信息安全， 態(tài)勢(shì)感知；辛丹、王璐，碩士研究生；劉欣，講 師、博士；胡建斌，副教授、博士。收稿日期:2013-03-05 修回日期:2013-05-08 e-mail： gai we i1i n54070225163. com態(tài)勢(shì)感知中的數(shù)據(jù)融合和決策方法綜述蓋偉麟a,辛丹a,王璐b,劉欣a,胡建斌b(北京大學(xué)a.軟件與微電子學(xué)院；b.信息科學(xué)技術(shù)學(xué)院，北京100871) 摘耍：在賽博空間態(tài)勢(shì)感知的相關(guān)研究中，處理不確定、不精確的多源異構(gòu)信息 是態(tài)勢(shì)認(rèn)識(shí)過(guò)程中需耍解決的一個(gè)重要問(wèn)題。為正確處理這些信

2、息，提高對(duì)態(tài) 勢(shì)的認(rèn)識(shí)，使得到的態(tài)勢(shì)更具有正確性、時(shí)效性和全局性，研究數(shù)據(jù)融合方式 和決策方式等現(xiàn)存的處理技術(shù)并進(jìn)行綜述。數(shù)據(jù)融合包含貝葉斯網(wǎng)絡(luò)、d-s證 據(jù)理論、粗糙集理論、神經(jīng)網(wǎng)絡(luò)、隱馬爾科夫模型及馬爾科夫博弈論等方式， 決策方式涵蓋認(rèn)知心理學(xué)、邏輯學(xué)、風(fēng)險(xiǎn)管理等。研究結(jié)果表明，目前的技術(shù) 焦點(diǎn)呈現(xiàn)多樣性，但在態(tài)勢(shì)生成應(yīng)用及驗(yàn)證方面仍有較大的改進(jìn)空間。 關(guān)鍵詞：賽博空間；態(tài)勢(shì)感知；多源異構(gòu)；數(shù)據(jù)融合；決策review of date fusion and decision-making methodsin situation awarenessgai wei-lina, xin dana,

3、 wang lub, liu xina, hu jian-binb(a. school of software and microelectronics; b. school of electronics engineering and computer scienee,peking uni versi ty, beijing 100871, china)abstract tn the research of cyberspace situation awareness, how to deal with uncertain, inaccurate multi-source heterogen

4、eous information is an important problem which needs to be solved in the process of si tuatiorml understanding. in order to accurately handie wi th the information, improve the awareness of the situation, make the situation more accuracy, timeliness and overall, the paper reviews theexisting technol

5、ogy focus, mainly including data fusion methods and decision-making methods. data fusion methods mainly ineludes bayesian network, ds evidenee theory, rough set theory, neural network, hidden markov model and markov game theory methods, and decision-making mainly in eludes cog nit/ive psychology, lo

6、gic and risk management methods. research resulis show that current technology focuses present diversity, but still has great space for improvement in both the situation generation application and verification.key words cyberspace; situation awareness; multi-source heterogeneous; data fusion; decisi

7、on-making dot: 10. 3969/j. issn. 1000-3428. 2014.05.005 計(jì)算機(jī)工程computer engineering 第40卷第5期vol. 40 no. 52014年5月may 2014先進(jìn)計(jì)算與數(shù)據(jù)處理文章編號(hào)：1000-3428(2014)05-0021-05文獻(xiàn)標(biāo)識(shí)碼: a中圖分類(lèi)號(hào)：tp311. 131概述賽 博 空間(cyberspace) *詞是由美國(guó)科幻小說(shuō)作家william gibso n創(chuàng) 造的，指在計(jì)算機(jī)以及計(jì)算機(jī)網(wǎng)絡(luò)里的虛擬現(xiàn)實(shí)，后來(lái)概念被普及和延伸，例 如用來(lái)表示實(shí)吋的網(wǎng)絡(luò)空間等。態(tài)勢(shì)感知的概念源于航天飛機(jī)的人因研究，此

8、后在空中交通監(jiān)管、醫(yī)療應(yīng)急調(diào)度以及網(wǎng)絡(luò)安全監(jiān)控等領(lǐng)域被廣泛地應(yīng)用1。endsley 丁 1985年提岀了態(tài)勢(shì)感知的定義，指岀態(tài)勢(shì)感知是在特定的時(shí)間 和空間下，對(duì)環(huán)境中各元素或?qū)ο蟮挠X(jué)察、理解以及對(duì)未來(lái)狀態(tài)的預(yù)測(cè)。過(guò)去 賽博空間的攻擊方式具有單維性，主耍形式是單一地拒絕服務(wù)(denial of service, dos)攻擊、計(jì)算機(jī)病毒或者蠕蟲(chóng)、未授權(quán)的入侵，這些攻擊主要針對(duì) 網(wǎng)站、郵件服務(wù)器、客戶機(jī)等。如今賽博空間的攻擊經(jīng)歷多元化發(fā)生了根木性 改變，導(dǎo)致利用多種攻擊工具和技術(shù)的多階段、多維性攻擊岀現(xiàn)。賽博空間的 防御者必須處理多維攻擊產(chǎn)生的大量不確定、不完整的多源異構(gòu)信息，從而正 確理解并認(rèn)識(shí)

9、當(dāng)前態(tài)勢(shì)。不確定信息的挑戰(zhàn)存在于賽博態(tài)勢(shì)感知的所有階段，包括前期的安全風(fēng)險(xiǎn) 管理、實(shí)吋的入侵檢測(cè)、后期的取證分析。在過(guò)去的十余年中，研究者們提岀 了多種數(shù)據(jù)融合模型、決策模型，用于處理不確定、不完整、不精確的多源異 構(gòu)信息。其中在決策模型中，很多研究者考慮到人作為決策過(guò)程的因素，融入 了認(rèn)知心理學(xué)相關(guān)研究。木文綜述態(tài)勢(shì)感知研究領(lǐng)域的融合及決策方式，并給 出了相應(yīng)的評(píng)述及比較分析。2數(shù)據(jù)融合方式綜述數(shù)據(jù)融合技術(shù)最早應(yīng)用于軍事，近年來(lái)數(shù)據(jù)融合在非軍事領(lǐng)域也被廣泛應(yīng) 用。本節(jié)以人規(guī)模賽博空間態(tài)勢(shì)感知為背景，討論的一般是多源異構(gòu)數(shù)據(jù)的采 集與分析，即多源數(shù)據(jù)融合。數(shù)據(jù)融合研究的關(guān)鍵是融合模型和算法。模

10、型勾勒岀邏輯的框架，目前存 在的數(shù)據(jù)融合模型往往很人程度上依賴(lài)于應(yīng)用領(lǐng)域，不存在通用的數(shù)據(jù)融合模 型，其中最具有影響力的是如圖1所示的聯(lián)合指導(dǎo)實(shí)驗(yàn)室(joint directors oflaboratories, jdl)數(shù)據(jù)融合模型2-3,其中，態(tài)勢(shì)感知作為較高層次的 level 2融合，向上從level 1融合接收網(wǎng)絡(luò)監(jiān)測(cè)數(shù)據(jù)，作為態(tài)勢(shì)感知的信息 來(lái)源；向下為level 3融合提供態(tài)勢(shì)信息，用于威脅分析和決策支持。圖1數(shù)據(jù)融合模型下面將綜述當(dāng)前研究人員正在研究或者已經(jīng)取得顯著成果的用于賽博空間 態(tài)勢(shì)感知的數(shù)據(jù)融合方式及算法，并給岀相應(yīng)的評(píng)述及發(fā)展趨勢(shì)。2. 1基于貝葉斯網(wǎng)絡(luò)的態(tài)勢(shì)感知貝葉斯

11、網(wǎng)絡(luò)是基于概率分析和圖論的一種不確定性知識(shí)的表示和推理模型, 表現(xiàn)為一個(gè)賦值的復(fù)朵因果關(guān)系網(wǎng)絡(luò)圖，關(guān)于貝葉斯網(wǎng)絡(luò)的深入了解與學(xué)習(xí)可 以參考書(shū)籍4 o目前很多研究人員已經(jīng)把貝葉斯網(wǎng)絡(luò)應(yīng)用到態(tài)勢(shì)感知領(lǐng)域來(lái)處理不確定性 信息。文獻(xiàn)5提出態(tài)勢(shì)認(rèn)識(shí)的木質(zhì)是通過(guò)因果推理進(jìn)行態(tài)勢(shì)理解和診斷推理以實(shí) 現(xiàn)態(tài)勢(shì)預(yù)測(cè)，該文獻(xiàn)通過(guò)構(gòu)建態(tài)勢(shì)認(rèn)識(shí)的貝葉斯網(wǎng)絡(luò)模型找岀了態(tài)勢(shì)和時(shí)間之 間的因果關(guān)系，根據(jù)貝葉斯網(wǎng)絡(luò)信息傳播算法，以態(tài)勢(shì)和事件節(jié)點(diǎn)的置信 度為參數(shù)綜合應(yīng)用貝葉斯網(wǎng)絡(luò)進(jìn)行了因果推理和診斷推理，分別實(shí)現(xiàn)了態(tài)勢(shì)理 解與態(tài)勢(shì)預(yù)測(cè)過(guò)程。文獻(xiàn)給岀了基木的信息傳播算法、態(tài)勢(shì)認(rèn)識(shí)系統(tǒng)的實(shí)現(xiàn)及 運(yùn)用該算法的實(shí)例應(yīng)用，體現(xiàn)了很好的數(shù)據(jù)

12、學(xué)習(xí)能力及推理能力(但算法在有2 個(gè)子節(jié)點(diǎn)的情況下沒(méi)有給岀診斷推理方法，同時(shí)應(yīng)用文中的信息傳播算法也無(wú) 法推算出實(shí)例中的結(jié)果數(shù)據(jù)，缺乏一定的合理性與精確性)。一些文章基丁貝葉斯網(wǎng)絡(luò)研究了博弈融合的態(tài)勢(shì)分析，文獻(xiàn)6將博弈論思 想和信息融合理論相結(jié)合，提岀了一種以博弈思想為指導(dǎo)的博弈融合機(jī)制，同 吋最后也指出了貝葉斯網(wǎng)絡(luò)在信息融合中應(yīng)用的局限性：首先原因和結(jié)果常常 會(huì)相互作用，貝葉斯網(wǎng)絡(luò)是一個(gè)有向無(wú)環(huán)圖，無(wú)法滿足有環(huán)的因果網(wǎng)絡(luò)圖，其 次貝葉斯網(wǎng)絡(luò)沒(méi)有考慮原因節(jié)點(diǎn)影響結(jié)果節(jié)點(diǎn)的滯后時(shí)間，從而只適用于靜態(tài) 分析，有必要引入動(dòng)態(tài)貝葉斯網(wǎng)絡(luò)進(jìn)行研究。2. 2基td-s證據(jù)理論的態(tài)勢(shì)感知d-s (demps

13、ter-shafer)理論允許各傳感器提供各自所能提供的信息來(lái)進(jìn)行 目標(biāo)檢測(cè)、分類(lèi)及識(shí)別。算法核心是用概率分配值來(lái)定義一個(gè)不確定區(qū)間，并 用不確定區(qū)間來(lái)表示一個(gè)命題的支持度和似然度。關(guān)td-s理論的深入了解 與學(xué)習(xí)，參考文獻(xiàn)7中的第5章。很多研究者已把d-s證據(jù)理論應(yīng)用在網(wǎng)絡(luò)異常檢測(cè)、態(tài)勢(shì)評(píng)估等研究中。文獻(xiàn)8指出目前網(wǎng)絡(luò)異常檢測(cè)方法存在的很多不足，例如漏報(bào)率與誤報(bào)率 都比較高，沒(méi)有融合多個(gè)特征進(jìn)行綜合評(píng)判，檢測(cè)算法不能夠滿足人量數(shù)據(jù)及 高速網(wǎng)絡(luò)的檢測(cè)要求，從而提岀基td-s證據(jù)理論的網(wǎng)絡(luò)異常檢測(cè)方法，同時(shí) 引入了自適應(yīng)機(jī)制。研究者給岀了系統(tǒng)架構(gòu)，并指岀在方法的實(shí)現(xiàn)過(guò)程中，只 需選取從應(yīng)用層以下

14、各層協(xié)議頭部中的域值通過(guò)簡(jiǎn)單計(jì)算即可獲得特征。最后 使用darpa1999年ids基準(zhǔn)評(píng)測(cè)數(shù)據(jù)進(jìn)行了實(shí)驗(yàn)，得岀的實(shí)驗(yàn)結(jié)果表明，該算 法在較低誤報(bào)率的基礎(chǔ)上達(dá)到了理想的檢測(cè)率。文獻(xiàn)9提出了基td-s證據(jù)理論的態(tài)勢(shì)評(píng)估方法，并給出自己的網(wǎng)絡(luò)安全 態(tài)勢(shì)評(píng)估模型，模型中將態(tài)勢(shì)評(píng)估分為3層：特征層，解釋層，評(píng)估層。特征 層收集不同類(lèi)型的原始信息。解釋層的數(shù)據(jù)來(lái)源于特征層，并與攻擊數(shù)據(jù)庫(kù)中 的數(shù)據(jù)進(jìn)行匹配，然后用d-s證據(jù)理論算法融合匹配的數(shù)據(jù)，判斷當(dāng)前網(wǎng)絡(luò)態(tài) 勢(shì)。評(píng)估層基丁獲得的信息，綜合計(jì)算來(lái)預(yù)測(cè)潛在威脅，并生成當(dāng)前態(tài)勢(shì)的映 射圖。最后在實(shí)例中給出一張隨吋間變化的態(tài)勢(shì)圖，但只給出一個(gè)整體態(tài)勢(shì)值, 其并

15、不會(huì)指導(dǎo)管理員該如何采取防護(hù)措施，這需耍具體模塊化的態(tài)勢(shì)值，當(dāng)然 整體態(tài)勢(shì)也不僅僅是模塊化態(tài)勢(shì)值的加權(quán)運(yùn)算。2. 3基于粗糙集理論的態(tài)勢(shì)感知粗糙集理論(rough set theory, rst)作為一種數(shù)據(jù)分析處理理論，在1982 年由波蘭科學(xué)家pawlak創(chuàng)立，該理論在分類(lèi)意義下定義了模糊性和不確定性的 概念，是一種處理不確定、不相容數(shù)據(jù)和不精確問(wèn)題的新型數(shù)學(xué)工具，其主耍 思想就是在分類(lèi)能力不變的前提下，通過(guò)知識(shí)約簡(jiǎn)，導(dǎo)岀問(wèn)題的決策和分類(lèi)規(guī) 則。關(guān)于粗糙集理論的深入了解與學(xué)習(xí)可以參考文獻(xiàn)10。1995年acm將粗糙集理論列為新興的計(jì)算機(jī)科學(xué)的研究課題，用在態(tài)勢(shì)感 知領(lǐng)域粗糙集理論研究剛剛起

16、步，所以目前文獻(xiàn)人多數(shù)局限在算法的基礎(chǔ)應(yīng)用, 主要研究方向?yàn)閼B(tài)勢(shì)感知與評(píng)估。國(guó)內(nèi)已有研究者將粗糙集理論應(yīng)用到網(wǎng)絡(luò)態(tài) 勢(shì)感知11,該方法把網(wǎng)絡(luò)攻擊行為作為網(wǎng)絡(luò)安全耍索，定量分析了各安全耍 素或安全要素組合對(duì)網(wǎng)絡(luò)安全的威脅程度，最終建立了具有攻擊行為、網(wǎng)絡(luò)服 務(wù)和安全態(tài)勢(shì)3個(gè)層次的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型，并通過(guò)仿真實(shí)驗(yàn)生成了明確 的網(wǎng)絡(luò)安全態(tài)勢(shì)圖。文獻(xiàn)11在于仿真實(shí)驗(yàn)中采用了多源異構(gòu)數(shù)據(jù)，對(duì)各數(shù)據(jù) 進(jìn)行量化處理最終形成態(tài)勢(shì)圖，實(shí)驗(yàn)邏輯性強(qiáng)且具有說(shuō)服力。更多研究者將粗糙集理論用在態(tài)勢(shì)評(píng)估中進(jìn)行研究。文獻(xiàn)12將貝葉斯網(wǎng) 絡(luò)與粗糙集理論相結(jié)合進(jìn)行戰(zhàn)爭(zhēng)域的態(tài)勢(shì)評(píng)估，主耍模式是應(yīng)用貝葉斯網(wǎng)絡(luò)及 專(zhuān)家經(jīng)驗(yàn)從不確

17、定環(huán)境中獲得主觀態(tài)勢(shì)評(píng)估，客觀的態(tài)勢(shì)評(píng)估應(yīng)用粗糙集理論 獲得，合成2種算法的評(píng)估數(shù)據(jù)，最終掌握整個(gè)戰(zhàn)爭(zhēng)域的實(shí)時(shí)態(tài)勢(shì)。文獻(xiàn)13 基于多屬性決策的態(tài)勢(shì)評(píng)估提岀一個(gè)基于粗糙集理論的模型，改進(jìn)了區(qū)分函數(shù) (discernibi 1 ityfunction, df)和基于決策屬性的精簡(jiǎn)算法,因此產(chǎn)生了更高 的評(píng)估效率。2.4基于神經(jīng)網(wǎng)絡(luò)的態(tài)勢(shì)感知人工神經(jīng)網(wǎng)(artificial neural networks, ann)也簡(jiǎn)稱(chēng)為神經(jīng)網(wǎng)絡(luò)或稱(chēng)作 連接模型，它是一種模仿動(dòng)物神經(jīng)網(wǎng)絡(luò)行為特征，進(jìn)行分布式并行信息處理的 算法數(shù)學(xué)模型。這種網(wǎng)絡(luò)依靠系統(tǒng)的復(fù)朵程度，通過(guò)調(diào)整內(nèi)部人量節(jié)點(diǎn)之間相 互連接的關(guān)系，從而達(dá)到

18、處理信息的目的。關(guān)于神經(jīng)網(wǎng)絡(luò)的深入了解與學(xué)習(xí)可 以參考文獻(xiàn)14。神經(jīng)網(wǎng)絡(luò)在態(tài)勢(shì)感知中的應(yīng)用比較集中在態(tài)勢(shì)預(yù)測(cè)研究中。網(wǎng)絡(luò)安全態(tài)勢(shì)值具有非線性時(shí)間序列的特點(diǎn)，借助神經(jīng)網(wǎng)絡(luò)處理混沌、非 線性數(shù)據(jù)的優(yōu)勢(shì),研究者提出了一種基于徑向基函數(shù)(radical basis function, rbf)神經(jīng)網(wǎng)絡(luò)進(jìn)行態(tài)勢(shì)預(yù)測(cè)的方法15,該方法通過(guò)訓(xùn)練rbf神經(jīng)網(wǎng)絡(luò)找岀態(tài) 勢(shì)值得前河個(gè)數(shù)據(jù)和隨后個(gè)數(shù)據(jù)的非線性映射關(guān)系，進(jìn)而利用該關(guān)系進(jìn)行態(tài) 勢(shì)值預(yù)測(cè)。為了提高rbf神經(jīng)網(wǎng)絡(luò)的預(yù)測(cè)精度，文獻(xiàn)16利用混合的遞階遺傳 算法(h i erarch i cal genet i c algori thm, hga)的全局搜索能力

19、來(lái)更好地優(yōu)化rbf 神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)和參數(shù)，然后使用訓(xùn)練好的rbf網(wǎng)絡(luò)構(gòu)建-個(gè)預(yù)測(cè)模型來(lái)預(yù)測(cè) 未來(lái)網(wǎng)絡(luò)安全態(tài)勢(shì)。文獻(xiàn)17中基丁小波神經(jīng)網(wǎng)絡(luò)(wavelet neural network, wnn)給出了網(wǎng)絡(luò)安全態(tài)勢(shì)感知的定量預(yù)測(cè)方法。研究者在文獻(xiàn)18中基于endsley的態(tài)勢(shì)感知三階段給岀了自己的網(wǎng)絡(luò)安 全態(tài)勢(shì)感知模型，此模型具有3層結(jié)構(gòu)，分別為數(shù)據(jù)、信息、知識(shí)。研究者采 用snort和netflow作為傳感器來(lái)收集實(shí)時(shí)的網(wǎng)絡(luò)流數(shù)據(jù)，然后采用多層前饋 神經(jīng)網(wǎng)絡(luò)進(jìn)行信息的融合，給岀了簡(jiǎn)潔有效的特征精簡(jiǎn)方法，減少了輸入向量 并改進(jìn)了融合機(jī)制的實(shí)吋性。另外為了給岀被監(jiān)控網(wǎng)絡(luò)的實(shí)時(shí)安全態(tài)勢(shì)，研究 者還提

20、供了一個(gè)態(tài)勢(shì)生成機(jī)制。2.5基thmm和馬爾科夫博弈論的態(tài)勢(shì)感知隱馬爾科夫模型(hidden markov model s, hmm)是對(duì)馬爾科夫模型的一種擴(kuò) 充，可以描述為rti個(gè)不可觀測(cè)的、隱含的隨機(jī)過(guò)程支持的可觀測(cè)的隨機(jī)過(guò)程。 關(guān)于馬爾科夫模型及隱馬爾科夫模型的深入了解與學(xué)習(xí)可以參考文獻(xiàn)19。馬 爾科夫博弈論(markov game theory, mgt)概念由決策者、狀態(tài)空間、行動(dòng)空間、 轉(zhuǎn)換規(guī)則、支付函數(shù)和決策等相關(guān)定義描述20,它是一種隨機(jī)的、動(dòng)態(tài)的博 弈論，能夠抓住網(wǎng)絡(luò)沖突的性質(zhì)，很好地處理可用的不完整、不確定信息集。有研究者將hmm用在態(tài)勢(shì)的趨勢(shì)識(shí)別即態(tài)勢(shì)預(yù)測(cè)的相關(guān)研究中21

21、,指岀 現(xiàn)存研究框架僅依賴(lài)于一種或者一類(lèi)傳感器的不足，給岀了自己的系統(tǒng)框架， 通過(guò)分析不同傳感器獲得的信息，預(yù)測(cè)入侵者的意圖，文獻(xiàn)給岀了模擬實(shí)例并 完成入侵意圖識(shí)別，但文獻(xiàn)中在描述采用hmm進(jìn)行趨勢(shì)識(shí)別時(shí)并沒(méi)有說(shuō)明過(guò)程 僅依賴(lài)現(xiàn)在而不依賴(lài)過(guò)去的馬爾科夫性的適用性，同時(shí)實(shí)例只是針對(duì)自己的模 型進(jìn)行特定的參數(shù)配置，缺乏一定的通用性及推廣能力，所以還具有一定的局 限性，還需更多的工作繼續(xù)深一步的研究。文獻(xiàn)20提出馬爾科夫博弈論能夠捕獲網(wǎng)絡(luò)沖突的特性：防御方的策略決策跟攻擊方的策略決策相耦合對(duì)應(yīng)。研究者首先基于jdl模型給出自c的用于 賽博態(tài)勢(shì)感知的框架，其中主要包括2個(gè)模塊：數(shù)據(jù)融合模塊和動(dòng)態(tài)自適應(yīng)

22、特 征識(shí)別模塊，后者能夠產(chǎn)生原始識(shí)別數(shù)據(jù)并學(xué)習(xí)新發(fā)現(xiàn)的或未知的賽博攻擊。 其次考慮到中立者可能為了最小化自c的損失而采取行動(dòng)偏向攻擊方或者防御 方，在博弈論應(yīng)用中創(chuàng)新性地引入中立方。研究者介于三方參與的博弈及攻擊 方和防御方又不是完全對(duì)立的，采用了非零和博弈。另外在博弈論的決策方面 采用混合納什平衡（nash24計(jì)算機(jī)工程2014年5月15 0equilibrium, ne）決策，其中每個(gè)參與者只需考慮平均支付函數(shù)。2. 6數(shù)據(jù)融合方式評(píng)述及發(fā)展趨勢(shì)數(shù)據(jù)融合方式在態(tài)勢(shì)感知中處理多源異構(gòu)數(shù)據(jù)的應(yīng)用研究比較成熟，算法 各具優(yōu)越性，貝葉斯網(wǎng)絡(luò)具有神經(jīng)網(wǎng)絡(luò)和圖論的優(yōu)點(diǎn)，它使用概率論來(lái)處理不 確定性，提

23、供了一種將知識(shí)直覺(jué)地圖解可視化的方法；d-s證據(jù)理論支持描述 不同等級(jí)的精確度和直接引入對(duì)未知不確定性的描述；粗糙集理論具有能從海 量數(shù)據(jù)中發(fā)現(xiàn)有用規(guī)律并將其轉(zhuǎn)化為邏輯規(guī)則的優(yōu)勢(shì)；安全態(tài)勢(shì)值具有非線性 吋間序列的特點(diǎn)，而神經(jīng)網(wǎng)絡(luò)具有處理非線性數(shù)據(jù)的優(yōu)勢(shì)；賽博空間入侵者具 有相對(duì)確定的意圖，采用意向圖進(jìn)行意圖識(shí)別形成一種新穎的研究方式，將隱 馬爾科夫用丁意圖識(shí)別能夠從多傳感器融合數(shù)據(jù)，得到正確的識(shí)別與認(rèn)知；將 博弈論應(yīng)用丁賽博空間防御研究，馬爾科夫博弈論模型采用分布式結(jié)構(gòu)，能夠 有效為賽博空間的不確定因索進(jìn)行建模，并能很好地抓住網(wǎng)絡(luò)沖突的性質(zhì)。目前數(shù)據(jù)融合方式中的研究呈現(xiàn)實(shí)驗(yàn)數(shù)據(jù)量小、實(shí)驗(yàn)數(shù)據(jù)針

24、對(duì)性強(qiáng)、算法 缺乏高效性等缺點(diǎn)，并且雖然從多維度融合給岀賽博空間當(dāng)前態(tài)勢(shì)值，但缺乏 具體模塊化的態(tài)勢(shì)值，模塊化態(tài)勢(shì)值對(duì)于決策者做決策更有意義。在多源異構(gòu)信息的處理中，目前已有很多研究者將多種融合方式結(jié)合起來(lái) 進(jìn)行研究，例如貝葉斯網(wǎng)絡(luò)與攻擊圖的結(jié)合、貝葉斯網(wǎng)絡(luò)與粗糙集理論的結(jié)合, 這種算法結(jié)合研究是一種將來(lái)的研究趨勢(shì)。對(duì)于單一融合方式的研究，從時(shí)間 復(fù)雜度及空間復(fù)朵度的優(yōu)化性出發(fā)進(jìn)行算法的創(chuàng)新性改進(jìn)，也是一種研究趨勢(shì)。 3決策方式綜述決策一詞的意思就是為了到達(dá)一定目標(biāo)，采用一定的科學(xué)方法和手段，從2 個(gè)以上的方案中選擇一個(gè)滿意方案的分析判斷過(guò)程。態(tài)勢(shì)感知中數(shù)據(jù)融合的最 終目標(biāo)是讓操作者了解當(dāng)前賽

25、博空間的狀況從而掌握全局態(tài)勢(shì)，做出相應(yīng)決策。 很多文獻(xiàn)從如何做決策的角度岀發(fā)，針對(duì)態(tài)勢(shì)感知中多源異構(gòu)信息的處理方式 進(jìn)行相關(guān)研究，并有研究者考慮到?jīng)Q策過(guò)程中個(gè)人因索的影響，將心理學(xué)的認(rèn) 知過(guò)程納入決策研究。3.1基于認(rèn)知心理學(xué)的態(tài)勢(shì)感知決策方式認(rèn)知，指通過(guò)心理活動(dòng)獲取知識(shí)。在態(tài)勢(shì)感知中的認(rèn)知應(yīng)用研究主耍是基 丁認(rèn)知心理學(xué)信息加工論，信息加工論主要涉及信息的獲得、存儲(chǔ)、加工、提 取和應(yīng)用。研究者分別將認(rèn)知應(yīng)用到了人作為高效率、實(shí)時(shí)決策者的研究中和 賽博空間的決策框架研究中。endsley早期從人的認(rèn)知角度對(duì)態(tài)勢(shì)感知進(jìn)行了相關(guān)研究，文獻(xiàn)22指出 隨著動(dòng)態(tài)、復(fù)雜系統(tǒng)的出現(xiàn)，操作者的態(tài)勢(shì)感知在系統(tǒng)的決

26、策和性能中成為關(guān) 鍵部分，態(tài)勢(shì)感知過(guò)程跟操作者對(duì)于當(dāng)前壞境的知識(shí)狀態(tài)有關(guān)，它主要由操作 者對(duì)相關(guān)元素的感知、操作者對(duì)目標(biāo)有關(guān)的元素的理解和基于這些理解對(duì)壞境 未來(lái)狀態(tài)的預(yù)測(cè)結(jié)合而成。研究者給岀了一個(gè)考慮人的態(tài)勢(shì)感知的決策模型， 并指出真正的態(tài)勢(shì)感知不僅是人量數(shù)據(jù)的融合，還需要基于操作者目標(biāo)相關(guān)的 更高水平的態(tài)勢(shì)理解及系統(tǒng)將來(lái)狀態(tài)的預(yù)測(cè)。文獻(xiàn)還考慮了任務(wù)和系統(tǒng)因素， 它們也會(huì)影響個(gè)人態(tài)勢(shì)獲取能力，并就這些因素對(duì)系統(tǒng)設(shè)計(jì)等展開(kāi)研究。此研 究的創(chuàng)新性在于將人的因素納入對(duì)空間態(tài)勢(shì)獲取的研究，基于信息加工論提出 了人的態(tài)勢(shì)感知概念并給出了模型。3.2基于邏輯學(xué)的態(tài)勢(shì)感知決策方式在安全分析中，計(jì)算機(jī)攻擊條

27、件的邏輯關(guān)系顯得日益重要23,研究者在 脆弱性分析中通過(guò)對(duì)這種關(guān)系的建模也生成多種解決方案24-25,他們?cè)诮?中都采用了某些確定邏輯：一個(gè)攻擊的前置條件成立，則后置條件成立。文獻(xiàn)23指出，上述確定邏輯并沒(méi)有考慮到賽博安全分析的不確定性。介丁確定邏輯的局限性，研究者提岀了一種基于經(jīng)驗(yàn)的邏輯方法進(jìn)行決策 研究23。文獻(xiàn)根據(jù)人的基于經(jīng)驗(yàn)的思維方式設(shè)計(jì)邏輯規(guī)則，并將此邏輯模型 分為2個(gè)部分：觀察推理用來(lái)將觀察結(jié)果映射到內(nèi)部條件，內(nèi)部模型用來(lái)分析 內(nèi)部條件的邏輯關(guān)系。相對(duì)于以前的融合和決策方法宜接應(yīng)用現(xiàn)存的模型進(jìn)行 研究，此文獻(xiàn)直接從底層基礎(chǔ)開(kāi)始設(shè)計(jì)一個(gè)接近人類(lèi)推理的邏輯模型，此模型 的另一個(gè)優(yōu)點(diǎn)是

28、相對(duì)丁結(jié)論成立的條件是以邏輯證明的形式給岀的，這使得在 達(dá)成這個(gè)結(jié)論過(guò)程中什么條件被應(yīng)用或什么條件被假設(shè)更加清楚。3.3基于風(fēng)險(xiǎn)管理的態(tài)勢(shì)感知決策方式賽博空間態(tài)勢(shì)感知不確定性研究的另一個(gè)重耍方面是系統(tǒng)中存在的靜態(tài)不 確定性或者固有風(fēng)險(xiǎn)。固有風(fēng)險(xiǎn)的分析和管理在安全投入的決策中顯得尤其重 要。文獻(xiàn)23指出隨著目前網(wǎng)絡(luò)應(yīng)用的擴(kuò)大，相關(guān)應(yīng)用中的漏洞經(jīng)常被發(fā)現(xiàn)， 且被用來(lái)進(jìn)行階段性賽博攻擊，但并不存在一種客觀的方法來(lái)評(píng)估網(wǎng)絡(luò)的安全 性，通過(guò)增加安全投入可以減少與安全相關(guān)的風(fēng)險(xiǎn)，在這方面的權(quán)衡分析需耍 一個(gè)量化的安全模型。通用漏洞評(píng)分系統(tǒng)(common vulnerabi 1 i ty scoring s

29、ystem, cvss) 26是 一個(gè)行業(yè)公開(kāi)標(biāo)準(zhǔn)，被設(shè)計(jì)用來(lái)評(píng)測(cè)漏洞的嚴(yán)重程度，并幫助確定所需反應(yīng)的 緊急度和重要度。文獻(xiàn)23提岀cvss只提供了單個(gè)漏洞的分?jǐn)?shù)，并不能提供一 個(gè)合理的方法為網(wǎng)絡(luò)中一系列漏洞提供一種集成的度量方式，以便得到網(wǎng)絡(luò)安 全的整體分?jǐn)?shù)。研究者基丁上述問(wèn)題提岀將cvss與攻擊圖相結(jié)合，攻擊圖可以 被用來(lái)進(jìn)行漏洞間的因果關(guān)系建模，很多文獻(xiàn)中也研究了基于攻擊圖的cvss度 量。研究者結(jié)合攻擊圖進(jìn)行cvss度量相關(guān)研究，能夠比較好地利用多源異構(gòu)數(shù) 據(jù)形成系統(tǒng)當(dāng)前漏洞狀態(tài)整體度量值，為賽博空間態(tài)勢(shì)感知中處理靜態(tài)不確定 性數(shù)據(jù)進(jìn)而正確理解當(dāng)前態(tài)勢(shì)的研究提供了方向或理論依據(jù)。3.4

30、決策方式評(píng)述及發(fā)展趨勢(shì)決策方式的研究彰顯了交叉學(xué)科研究的創(chuàng)新性及優(yōu)越性，從認(rèn)知心理學(xué)岀 發(fā)能夠?qū)⒉僮髡叩臎Q策及分析能力作為因素納入多源異構(gòu)信息的處理框架研究 中；基于經(jīng)驗(yàn)的邏輯方法的提出能夠從底層處理觀察到的多源異構(gòu)數(shù)據(jù)，并將 邏輯預(yù)處理結(jié)果映射到內(nèi)部進(jìn)行內(nèi)部關(guān)系分析，便于跟蹤入侵者意圖；針對(duì)靜 態(tài)不確定性數(shù)據(jù)的處理，將通用漏洞評(píng)分系統(tǒng)與攻擊圖相結(jié)合，能夠利用攻擊 圖的因果關(guān)系建模，形成系統(tǒng)當(dāng)前整體度量值。決策方式的研究是從做決策的角度岀發(fā)，為多源異構(gòu)數(shù)據(jù)處理提供決策框 架及框架所需的設(shè)計(jì)因素，并不會(huì)向數(shù)據(jù)融合方式提供一個(gè)最終的定量的態(tài)勢(shì) 度量值。賽博空間態(tài)勢(shì)感知中引入交叉學(xué)科的研究，能夠讓研

31、究者從一個(gè)全新的角 度尋求新穎的多源異構(gòu)數(shù)據(jù)處理方式及優(yōu)化方式，例如很多與生物免疫學(xué)的交 叉研究，這是一種比較新的研究趨勢(shì)。4結(jié)束語(yǔ)針對(duì)目前賽博空間態(tài)勢(shì)感知研究中對(duì)多源異構(gòu)信息的處理方式，木文從數(shù) 據(jù)融合與決策方法2個(gè)角度綜述了當(dāng)前研究比較前沿的解決方案，即5種數(shù)據(jù) 融合算法以及3種決策方法，給岀融合算法及決策方法的優(yōu)缺點(diǎn)并指岀今后的 發(fā)展趨勢(shì)，可以作為該領(lǐng)域后續(xù)研究的理論基礎(chǔ)參考。后續(xù)研究將會(huì)致力于提 出更高效、優(yōu)化的適用丁多源異構(gòu)數(shù)據(jù)處理的融合算法，著重考慮融合算法的 結(jié)合研究及算法的普適性。在決策方法的研究中，將致力于認(rèn)知心理學(xué)及邏輯 學(xué)的研究，提出更全面的態(tài)勢(shì)感知決策框架，訃態(tài)勢(shì)分析者

32、實(shí)時(shí)、準(zhǔn)確地掌握 當(dāng)前態(tài)勢(shì)，并做出相關(guān)決策及未來(lái)趨勢(shì)預(yù)測(cè)。參考文獻(xiàn)1 王慧強(qiáng)，賴(lài)積保，朱亮，等網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)研究綜述j計(jì)算機(jī)科學(xué)，2006, 33(10): 5-10.2 hal 1 d l, llinas j. an tntroduction to mui tisensor data fusionj. proceedings of the ieee, 1997, 85(1): 6-23.3 sal erno j. information fusion: a high-level archilecture overviewc/proc, of the 5th inlernational co

33、nferenee on informal ion fusion. annapolis, usa: ieee press, 2002: 680- 686.4 張連文，郭海鵬.貝葉斯網(wǎng)引論m北京：科學(xué)岀版社， 2006.5 羅文，李敏勇，張曉銳.基于貝葉斯網(wǎng)絡(luò)的態(tài)勢(shì)認(rèn)識(shí)j. 火力與指揮控制,2010, 35(3): 89-92.6 周志強(qiáng)，張曉燕.基丁貝葉斯網(wǎng)絡(luò)的博弈融合態(tài)勢(shì)評(píng)估方 法j計(jì)算機(jī)與數(shù)字工程，200& 36(10): 17-19.7 戴亞平，劉征，郁光輝.多傳感器數(shù)據(jù)融合理論及應(yīng)用m北京：北京理工大學(xué)出版社，2004.8 諸葛建偉，土大為，陳昱，等.基于d-s證據(jù)理論的網(wǎng)絡(luò) 異

34、常檢測(cè)方法j軟件學(xué)報(bào)，2006, 17(3): 463-4719 qu zhaoyang, li yaying, li peng. a network securitysituation evaluation method based on ds evideneetheoryc/proc, of esiat' 10. wuhan, china: s. n. , 2010: 496-499.10 苗奪謙，李道國(guó).粗糙集理論，算法與應(yīng)用m北京： 清華大學(xué)出版社，200&11 梁穎，土慧強(qiáng)，賴(lài)積保.一種基于粗糙集理論的網(wǎng)絡(luò)安全 態(tài)勢(shì)感知方法j計(jì)算機(jī)科學(xué),2007, 34(8): 95

35、-97.12 meng guanglei, gong guanghong. algorithm of battlefieldsi tuation assessment based on bayesian network and rough set theoryc/proc, of the 7th inlernational conferenee on system simulation and scientific computing. beijing, china: s. n. , 2008: 776-779.13 wang xiaofan, wang baoshu. methods for

36、 situation assessment of muiti-attribute deci si on making based on roughsetsc/proc. of the 6th inlernational conferenee on fu/zy systems and knowledge discovery. tianjin, china: s. n., 2009: 325-32&14 韓力群人工神經(jīng)網(wǎng)絡(luò)教程m.北京：北京郵電大學(xué)出版 社，2006.15 任偉，蔣興浩，孫鎂鋒.基trbf神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全 態(tài)勢(shì)預(yù)測(cè)方法j計(jì)算機(jī)工程與應(yīng)用，2006, 42(31): 136

37、- 13&16 孟錦，馬馳，何加浪，等.基thhga-rbf神經(jīng)網(wǎng)絡(luò) 的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)模型j.計(jì)算機(jī)科學(xué)，2011, 38(7): 70-72.17 lai jibao, wang huiqiang, liu xiaowu, et al. a quantitative prediction method of network security situation based on wavelet neural networkc/proc of the 1st international symposium on data, privacy, and e-commerce. cheng

38、du,china: s. n. , 2007: 197-202.18 wang huiqiang, liu xiaowu, lai jibao, et al. networksecuri ty si tuation awareness based on heterogeneousmuiti-sensor data fusion and neural networkc/proc, of the 2nd international muiti-symposiums on computer andcomputational sciences. iowa, usa: ieee press, 2007: 352-359.19 reibiner l r. a tutorial on ilidden markov models and selected applications in speech recognitionj. proceedings of the ieee, 1989, 77(2