态势感知中的数据融合和决策方法综述作者简介:盖伟麟(1987-),男,硕士研究生,主研方向:网络与信息安全,态势感知;辛丹、王璐,硕士研究生;刘欣,讲师、博士;胡建斌,副教授、博士。收稿日期:2013-03-05修回日期:2013-05-08E-mail:gaiweilin54070225@163.com态势感知中的数据融合和决策方法综述盖伟麟a,辛丹a,王璐b,刘欣a,胡建斌b(北京大学a.软件与微电子学院;b.信息科学技术学院,北京100871)摘要:在赛博空间态势感知的相关研究中,处理不确定、不精确的多源异构信息是态势认识过程中需要解决的一个重要问题。为正确处理这些信息,提高对态势的认识,使得到的态势更具有正确性、时效性和全局性,研究数据融合方式和决策方式等现存的处理技术并进行综述。数据融合包含贝叶斯网络、D-S证据理论、粗糙集理论、神经网络、隐马尔科夫模型及马尔科夫博弈论等方式,决策方式涵盖认知心理学、逻辑学、风险管理等。研究结果表明,目前的技术焦点呈现多样性,但在态势生成应用及验证方面仍有较大的改进空间。关键词:赛博空间;态势感知;多源异构;数据融合;决策ReviewofDateFusionandDecision-makingMethodsinSituationAwarenessGAIWei-lina,XINDana,WANGLub,LIUXina,HUJian-binb(a.SchoolofSoftwareandMicroelectronics;b.SchoolofElectronicsEngineeringandComputerScience,PekingUniversity,Beijing100871,China)【Abstract】Intheresearchofcyberspacesituationawareness,howtodealwithuncertain,inaccuratemulti-sourceheterogeneousinformationisanimportantproblemwhichneedstobesolvedintheprocessofsituationalunderstanding.Inordertoaccuratelyhandlewiththeinformation,improvetheawarenessofthesituation,makethesituationmoreaccuracy,timelinessandoverall,thepaperreviewstheexistingtechnologyfocus,mainlyincludingdatafusionmethodsanddecision-makingmethods.DatafusionmethodsmainlyincludesBayesiannetwork,D-Sevidencetheory,roughsettheory,neuralnetwork,hiddenMarkovmodelandMarkovgametheorymethods,anddecision-makingmainlyincludescognitivepsychology,logicandriskmanagementmethods.Researchresultsshowthatcurrenttechnologyfocusespresentdiversity,butstillhasgreatspaceforimprovementinboththesituationgenerationapplicationandverification.【Keywords】cyberspace;situationawareness;multi-sourceheterogeneous;datafusion;decision-makingDOI:10.3969/j.issn.1000-3428.2014.05.005计算机工程ComputerEngineering第40卷第5期Vol.40No.52014年5月May2014·先进计算与数据处理·文章编号:1000-3428(2014)05-0021-05文献标识码:A中图分类号:TP311.131概述赛博空间(cyberspace)一词是由美国科幻小说作家WilliamGibson创造的,指在计算机以及计算机网络里的虚拟现实,后来概念被普及和延伸,例如用来表示实时的网络空间等。态势感知的概念源于航天飞机的人因研究,此后在空中交通监管、医疗应急调度以及网络安全监控等领域被广泛地应用[1]。Endsley于1985年提出了态势感知的定义,指出态势感知是在特定的时间和空间下,对环境中各元素或对象的觉察、理解以及对未来状态的预测。过去赛博空间的攻击方式具有单维性,主要形式是单一地拒绝服务(DenialofService,DoS)攻击、计算机病毒或者蠕虫、未授权的入侵,这些攻击主要针对网站、邮件服务器、客户机等。如今赛博空间的攻击经历多元化发生了根本性改变,导致利用多种攻击工具和技术的多阶段、多维性攻击出现。赛博空间的防御者必须处理多维攻击产生的大量不确定、不完整的多源异构信息,从而正确理解并认识当前态势。不确定信息的挑战存在于赛博态势感知的所有阶段,包括前期的安全风险管理、实时的入侵检测、后期的取证分析。在过去的十余年中,研究者们提出了多种数据融合模型、决策模型,用于处理不确定、不完整、不精确的多源异构信息。其中在决策模型中,很多研究者考虑到人作为决策过程的因素,融入了认知心理学相关研究。本文综述态势感知研究领域的融合及决策方式,并给出了相应的评述及比较分析。2数据融合方式综述数据融合技术最早应用于军事,近年来数据融合在非军事领域也被广泛应用。本节以大规模赛博空间态势感知为背景,讨论的一般是多源异构数据的采集与分析,即多源数据融合。数据融合研究的关键是融合模型和算法。模型勾勒出逻辑的框架,目前存在的数据融合模型往往很大程度上依赖于应用领域,不存在通用的数据融合模型,其中最具有影响力的是如图1所示的联合指导实验室(JointDirectorsofLaboratories,JDL)数据融合模型[2-3],其中,态势感知作为较高层次的Level2融合,向上从Level1融合接收网络监测数据,作为态势感知的信息来源;向下为Level3融合提供态势信息,用于威胁分析和决策支持。/下面将综述当前研究人员正在研究或者已经取得显著成果的用于赛博空间态势感知的数据融合方式及算法,并给出相应的评述及发展趋势。2.1基于贝叶斯网络的态势感知贝叶斯网络是基于概率分析和图论的一种不确定性知识的表示和推理模型,表现为一个赋值的复杂因果关系网络图,关于贝叶斯网络的深入了解与学习可以参考书籍[4]。目前很多研究人员已经把贝叶斯网络应用到态势感知领域来处理不确定性信息。文献[5]提出态势认识的本质是通过因果推理进行态势理解和诊断推理以实现态势预测,该文献通过构建态势认识的贝叶斯网络模型找出了态势和时间之间的因果关系,根据贝叶斯网络信息传播算法,以态势和事件节点的置信度为参数综合应用贝叶斯网络进行了因果推理和诊断推理,分别实现了态势理解与态势预测过程。文献给出了基本的信息传播算法、态势认识系统的实现及运用该算法的实例应用,体现了很好的数据学习能力及推理能力(但算法在有2个子节点的情况下没有给出诊断推理方法,同时应用文中的信息传播算法也无法推算出实例中的结果数据,缺乏一定的合理性与精确性)。一些文章基于贝叶斯网络研究了博弈融合的态势分析,文献[6]将博弈论思想和信息融合理论相结合,提出了一种以博弈思想为指导的博弈融合机制,同时最后也指出了贝叶斯网络在信息融合中应用的局限性:首先原因和结果常常会相互作用,贝叶斯网络是一个有向无环图,无法满足有环的因果网络图,其次贝叶斯网络没有考虑原因节点影响结果节点的滞后时间,从而只适用于静态分析,有必要引入动态贝叶斯网络进行研究。2.2基于D-S证据理论的态势感知D-S(Dempster-Shafer)理论允许各传感器提供各自所能提供的信息来进行目标检测、分类及识别。算法核心是用概率分配值来定义一个不确定区间,并用不确定区间来表示一个命题的支持度和似然度。关于D-S理论的深入了解与学习,参考文献[7]中的第5章。很多研究者已把D-S证据理论应用在网络异常检测、态势评估等研究中。文献[8]指出目前网络异常检测方法存在的很多不足,例如漏报率与误报率都比较高,没有融合多个特征进行综合评判,检测算法不能够满足大量数据及高速网络的检测要求,从而提出基于D-S证据理论的网络异常检测方法,同时引入了自适应机制。研究者给出了系统架构,并指出在方法的实现过程中,只需选取从应用层以下各层协议头部中的域值通过简单计算即可获得特征。最后使用DARPA1999年IDS基准评测数据进行了实验,得出的实验结果表明,该算法在较低误报率的基础上达到了理想的检测率。文献[9]提出了基于D-S证据理论的态势评估方法,并给出自己的网络安全态势评估模型,模型中将态势评估分为3层:特征层,解释层,评估层。特征层收集不同类型的原始信息。解释层的数据来源于特征层,并与攻击数据库中的数据进行匹配,然后用D-S证据理论算法融合匹配的数据,判断当前网络态势。评估层基于获得的信息,综合计算来预测潜在威胁,并生成当前态势的映射图。最后在实例中给出一张随时间变化的态势图,但只给出一个整体态势值,其并不会指导管理员该如何采取防护措施,这需要具体模块化的态势值,当然整体态势也不仅仅是模块化态势值的加权运算。2.3基于粗糙集理论的态势感知粗糙集理论(RoughSetTheory,RST)作为一种数据分析处理理论,在1982年由波兰科学家Pawlak创立,该理论在分类意义下定义了模糊性和不确定性的概念,是一种处理不确定、不相容数据和不精确问题的新型数学工具,其主要思想就是在分类能力不变的前提下,通过知识约简,导出问题的决策和分类规则。关于粗糙集理论的深入了解与学习可以参考文献[10]。1995年ACM将粗糙集理论列为新兴的计算机科学的研究课题,用在态势感知领域粗糙集理论研究刚刚起步,所以目前文献大多数局限在算法的基础应用,主要研究方向为态势感知与评估。国内已有研究者将粗糙集理论应用到网络态势感知[11],该方法把网络攻击行为作为网络安全要素,定量分析了各安全要素或安全要素组合对网络安全的威胁程度,最终建立了具有攻击行为、网络服务和安全态势3个层次的网络安全态势感知模型,并通过仿真实验生成了明确的网络安全态势图。文献[11]在于仿真实验中采用了多源异构数据,对各数据进行量化处理最终形成态势图,实验逻辑性强且具有说服力。更多研究者将粗糙集理论用在态势评估中进行研究。文献[12]将贝叶斯网络与粗糙集理论相结合进行战争域的态势评估,主要模式是应用贝叶斯网络及专家经验从不确定环境中获得主观态势评估,客观的态势评估应用粗糙集理论获得,合成2种算法的评估数据,最终掌握整个战争域的实时态势。文献[13]基于多属性决策的态势评估提出一个基于粗糙集理论的模型,改进了区分函数(DiscernibilityFunction,DF)和基于决策属性的精简算法,因此产生了更高的评估效率。2.4基于神经网络的态势感知人工神经网(ArtificialNeuralNetworks,ANN)也简称为神经网络或称作连接模型,它是一种模仿动物神经网络行为特征,进行分布式并行信息处理的算法数学模型。这种网络依靠系统的复杂程度,通过调整内部大量节点之间相互连接的关系,从而达到处理信息的目的。关于神经网络的深入了解与学习可以参考文献[14]。神经网络在态势感知中的应用比较集中在态势预测研究中。网络安全态势值具有非线性时间序列的特点,借助神经网络处理混沌、非线性数据的优势,研究者提出了一种基于径向基函数(RadicalBasisFunction,RBF)神经网络进行态势预测的方法[15],该方法通过训练RBF神经网络找出态势值得前N个数