蓋偉麟，辛 丹，王 璐，劉 欣，胡建斌

(北京大學(xué) a. 軟件與微電子學(xué)院；b. 信息科學(xué)技術(shù)學(xué)院，北京 100871)

態(tài)勢感知中的數(shù)據(jù)融合和決策方法綜述

蓋偉麟a，辛 丹a，王 璐b，劉 欣a，胡建斌b

(北京大學(xué) a. 軟件與微電子學(xué)院；b. 信息科學(xué)技術(shù)學(xué)院，北京 100871)

在賽博空間態(tài)勢感知的相關(guān)研究中，處理不確定、不精確的多源異構(gòu)信息是態(tài)勢認(rèn)識過程中需要解決的一個重要問題。為正確處理這些信息，提高對態(tài)勢的認(rèn)識，使得到的態(tài)勢更具有正確性、時效性和全局性，研究數(shù)據(jù)融合方式和決策方式等現(xiàn)存的處理技術(shù)并進(jìn)行綜述。數(shù)據(jù)融合包含貝葉斯網(wǎng)絡(luò)、D-S證據(jù)理論、粗糙集理論、神經(jīng)網(wǎng)絡(luò)、隱馬爾科夫模型及馬爾科夫博弈論等方式，決策方式涵蓋認(rèn)知心理學(xué)、邏輯學(xué)、風(fēng)險管理等。研究結(jié)果表明，目前的技術(shù)焦點呈現(xiàn)多樣性，但在態(tài)勢生成應(yīng)用及驗證方面仍有較大的改進(jìn)空間。

賽博空間；態(tài)勢感知；多源異構(gòu)；數(shù)據(jù)融合；決策

1 概述

賽博空間(cyberspace)一詞是由美國科幻小說作家William Gibson創(chuàng)造的，指在計算機以及計算機網(wǎng)絡(luò)里的虛擬現(xiàn)實，后來概念被普及和延伸，例如用來表示實時的網(wǎng)絡(luò)空間等。態(tài)勢感知的概念源于航天飛機的人因研究，此后在空中交通監(jiān)管、醫(yī)療應(yīng)急調(diào)度以及網(wǎng)絡(luò)安全監(jiān)控等領(lǐng)域被廣泛地應(yīng)用[1]。

Endsley于1985年提出了態(tài)勢感知的定義，指出態(tài)勢感知是在特定的時間和空間下，對環(huán)境中各元素或?qū)ο蟮挠X察、理解以及對未來狀態(tài)的預(yù)測。過去賽博空間的攻擊方式具有單維性，主要形式是單一地拒絕服務(wù)(Denial of Service, DoS)攻擊、計算機病毒或者蠕蟲、未授權(quán)的入侵，這些攻擊主要針對網(wǎng)站、郵件服務(wù)器、客戶機等。如今賽博空間的攻擊經(jīng)歷多元化發(fā)生了根本性改變，導(dǎo)致利用多種攻擊工具和技術(shù)的多階段、多維性攻擊出現(xiàn)。賽博空間的防御者必須處理多維攻擊產(chǎn)生的大量不確定、不完整的多源異構(gòu)信息，從而正確理解并認(rèn)識當(dāng)前態(tài)勢。

不確定信息的挑戰(zhàn)存在于賽博態(tài)勢感知的所有階段，包括前期的安全風(fēng)險管理、實時的入侵檢測、后期的取證分析。在過去的十余年中，研究者們提出了多種數(shù)據(jù)融合模型、決策模型，用于處理不確定、不完整、不精確的多源異構(gòu)信息。其中在決策模型中，很多研究者考慮到人作為決策過程的因素，融入了認(rèn)知心理學(xué)相關(guān)研究。本文綜述態(tài)勢感知研究領(lǐng)域的融合及決策方式，并給出了相應(yīng)的評述及比較分析。

2 數(shù)據(jù)融合方式綜述

數(shù)據(jù)融合技術(shù)最早應(yīng)用于軍事，近年來數(shù)據(jù)融合在非軍事領(lǐng)域也被廣泛應(yīng)用。本節(jié)以大規(guī)模賽博空間態(tài)勢感知為背景，討論的一般是多源異構(gòu)數(shù)據(jù)的采集與分析，即多源數(shù)據(jù)融合。

數(shù)據(jù)融合研究的關(guān)鍵是融合模型和算法。模型勾勒出邏輯的框架，目前存在的數(shù)據(jù)融合模型往往很大程度上依賴于應(yīng)用領(lǐng)域，不存在通用的數(shù)據(jù)融合模型，其中最具有影響力的是如圖1所示的聯(lián)合指導(dǎo)實驗室(Joint Directors of Laboratories, JDL)數(shù)據(jù)融合模型[2-3]，其中，態(tài)勢感知作為較高層次的Level 2融合，向上從Level 1融合接收網(wǎng)絡(luò)監(jiān)測數(shù)據(jù)，作為態(tài)勢感知的信息來源；向下為Level 3融合提供態(tài)勢信息，用于威脅分析和決策支持。

圖1 數(shù)據(jù)融合模型

下面將綜述當(dāng)前研究人員正在研究或者已經(jīng)取得顯著成果的用于賽博空間態(tài)勢感知的數(shù)據(jù)融合方式及算法，并給出相應(yīng)的評述及發(fā)展趨勢。

2.1 基于貝葉斯網(wǎng)絡(luò)的態(tài)勢感知

貝葉斯網(wǎng)絡(luò)是基于概率分析和圖論的一種不確定性知識的表示和推理模型，表現(xiàn)為一個賦值的復(fù)雜因果關(guān)系網(wǎng)絡(luò)圖，關(guān)于貝葉斯網(wǎng)絡(luò)的深入了解與學(xué)習(xí)可以參考書籍[4]。

目前很多研究人員已經(jīng)把貝葉斯網(wǎng)絡(luò)應(yīng)用到態(tài)勢感知領(lǐng)域來處理不確定性信息。

文獻(xiàn)[5]提出態(tài)勢認(rèn)識的本質(zhì)是通過因果推理進(jìn)行態(tài)勢理解和診斷推理以實現(xiàn)態(tài)勢預(yù)測，該文獻(xiàn)通過構(gòu)建態(tài)勢認(rèn)識的貝葉斯網(wǎng)絡(luò)模型找出了態(tài)勢和時間之間的因果關(guān)系，根據(jù)貝葉斯網(wǎng)絡(luò)信息傳播算法，以態(tài)勢和事件節(jié)點的置信度為參數(shù)綜合應(yīng)用貝葉斯網(wǎng)絡(luò)進(jìn)行了因果推理和診斷推理，分別實現(xiàn)了態(tài)勢理解與態(tài)勢預(yù)測過程。文獻(xiàn)給出了基本的信息傳播算法、態(tài)勢認(rèn)識系統(tǒng)的實現(xiàn)及運用該算法的實例應(yīng)用，體現(xiàn)了很好的數(shù)據(jù)學(xué)習(xí)能力及推理能力(但算法在有2個子節(jié)點的情況下沒有給出診斷推理方法，同時應(yīng)用文中的信息傳播算法也無法推算出實例中的結(jié)果數(shù)據(jù)，缺乏一定的合理性與精確性)。

一些文章基于貝葉斯網(wǎng)絡(luò)研究了博弈融合的態(tài)勢分析，文獻(xiàn)[6]將博弈論思想和信息融合理論相結(jié)合，提出了一種以博弈思想為指導(dǎo)的博弈融合機制，同時最后也指出了貝葉斯網(wǎng)絡(luò)在信息融合中應(yīng)用的局限性：首先原因和結(jié)果常常會相互作用，貝葉斯網(wǎng)絡(luò)是一個有向無環(huán)圖，無法滿足有環(huán)的因果網(wǎng)絡(luò)圖，其次貝葉斯網(wǎng)絡(luò)沒有考慮原因節(jié)點影響結(jié)果節(jié)點的滯后時間，從而只適用于靜態(tài)分析，有必要引入動態(tài)貝葉斯網(wǎng)絡(luò)進(jìn)行研究。

2.2 基于D-S證據(jù)理論的態(tài)勢感知

D-S(Dempster-Shafer)理論允許各傳感器提供各自所能提供的信息來進(jìn)行目標(biāo)檢測、分類及識別。算法核心是用概率分配值來定義一個不確定區(qū)間，并用不確定區(qū)間來表示一個命題的支持度和似然度。關(guān)于D-S理論的深入了解與學(xué)習(xí)，參考文獻(xiàn)[7]中的第5章。

很多研究者已把D-S證據(jù)理論應(yīng)用在網(wǎng)絡(luò)異常檢測、態(tài)勢評估等研究中。

文獻(xiàn)[8]指出目前網(wǎng)絡(luò)異常檢測方法存在的很多不足，例如漏報率與誤報率都比較高，沒有融合多個特征進(jìn)行綜合評判，檢測算法不能夠滿足大量數(shù)據(jù)及高速網(wǎng)絡(luò)的檢測要求，從而提出基于D-S證據(jù)理論的網(wǎng)絡(luò)異常檢測方法，同時引入了自適應(yīng)機制。研究者給出了系統(tǒng)架構(gòu)，并指出在方法的實現(xiàn)過程中，只需選取從應(yīng)用層以下各層協(xié)議頭部中的域值通過簡單計算即可獲得特征。最后使用DARPA 1999年IDS基準(zhǔn)評測數(shù)據(jù)進(jìn)行了實驗，得出的實驗結(jié)果表明，該算法在較低誤報率的基礎(chǔ)上達(dá)到了理想的檢測率。

文獻(xiàn)[9]提出了基于D-S證據(jù)理論的態(tài)勢評估方法，并給出自己的網(wǎng)絡(luò)安全態(tài)勢評估模型，模型中將態(tài)勢評估分為3層：特征層，解釋層，評估層。特征層收集不同類型的原始信息。解釋層的數(shù)據(jù)來源于特征層，并與攻擊數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行匹配，然后用D-S證據(jù)理論算法融合匹配的數(shù)據(jù)，判斷當(dāng)前網(wǎng)絡(luò)態(tài)勢。評估層基于獲得的信息，綜合計算來預(yù)測潛在威脅，并生成當(dāng)前態(tài)勢的映射圖。最后在實例中給出一張隨時間變化的態(tài)勢圖，但只給出一個整體態(tài)勢值，其并不會指導(dǎo)管理員該如何采取防護措施，這需要具體模塊化的態(tài)勢值，當(dāng)然整體態(tài)勢也不僅僅是模塊化態(tài)勢值的加權(quán)運算。

2.3 基于粗糙集理論的態(tài)勢感知

粗糙集理論(Rough Set Theory, RST)作為一種數(shù)據(jù)分析處理理論，在1982年由波蘭科學(xué)家Pawlak創(chuàng)立，該理論在分類意義下定義了模糊性和不確定性的概念，是一種處理不確定、不相容數(shù)據(jù)和不精確問題的新型數(shù)學(xué)工具，其主要思想就是在分類能力不變的前提下，通過知識約簡，導(dǎo)出問題的決策和分類規(guī)則。關(guān)于粗糙集理論的深入了解與學(xué)習(xí)可以參考文獻(xiàn)[10]。

1995年ACM將粗糙集理論列為新興的計算機科學(xué)的研究課題，用在態(tài)勢感知領(lǐng)域粗糙集理論研究剛剛起步，所以目前文獻(xiàn)大多數(shù)局限在算法的基礎(chǔ)應(yīng)用，主要研究方向為態(tài)勢感知與評估。

國內(nèi)已有研究者將粗糙集理論應(yīng)用到網(wǎng)絡(luò)態(tài)勢感知[11]，該方法把網(wǎng)絡(luò)攻擊行為作為網(wǎng)絡(luò)安全要素，定量分析了各安全要素或安全要素組合對網(wǎng)絡(luò)安全的威脅程度，最終建立了具有攻擊行為、網(wǎng)絡(luò)服務(wù)和安全態(tài)勢3個層次的網(wǎng)絡(luò)安全態(tài)勢感知模型，并通過仿真實驗生成了明確的網(wǎng)絡(luò)安全態(tài)勢圖。文獻(xiàn)[11]在于仿真實驗中采用了多源異構(gòu)數(shù)據(jù)，對各數(shù)據(jù)進(jìn)行量化處理最終形成態(tài)勢圖，實驗邏輯性強且具有說服力。

更多研究者將粗糙集理論用在態(tài)勢評估中進(jìn)行研究。文獻(xiàn)[12]將貝葉斯網(wǎng)絡(luò)與粗糙集理論相結(jié)合進(jìn)行戰(zhàn)爭域的態(tài)勢評估，主要模式是應(yīng)用貝葉斯網(wǎng)絡(luò)及專家經(jīng)驗從不確定環(huán)境中獲得主觀態(tài)勢評估，客觀的態(tài)勢評估應(yīng)用粗糙集理論獲得，合成2種算法的評估數(shù)據(jù)，最終掌握整個戰(zhàn)爭域的實時態(tài)勢。文獻(xiàn)[13]基于多屬性決策的態(tài)勢評估提出一個基于粗糙集理論的模型，改進(jìn)了區(qū)分函數(shù)(Discernibility Function, DF)和基于決策屬性的精簡算法，因此產(chǎn)生了更高的評估效率。

2.4 基于神經(jīng)網(wǎng)絡(luò)的態(tài)勢感知

人工神經(jīng)網(wǎng)(Artificial Neural Networks, ANN)也簡稱為神經(jīng)網(wǎng)絡(luò)或稱作連接模型，它是一種模仿動物神經(jīng)網(wǎng)絡(luò)行為特征，進(jìn)行分布式并行信息處理的算法數(shù)學(xué)模型。這種網(wǎng)絡(luò)依靠系統(tǒng)的復(fù)雜程度，通過調(diào)整內(nèi)部大量節(jié)點之間相互連接的關(guān)系，從而達(dá)到處理信息的目的。關(guān)于神經(jīng)網(wǎng)絡(luò)的深入了解與學(xué)習(xí)可以參考文獻(xiàn)[14]。

神經(jīng)網(wǎng)絡(luò)在態(tài)勢感知中的應(yīng)用比較集中在態(tài)勢預(yù)測研究中。

網(wǎng)絡(luò)安全態(tài)勢值具有非線性時間序列的特點，借助神經(jīng)網(wǎng)絡(luò)處理混沌、非線性數(shù)據(jù)的優(yōu)勢，研究者提出了一種基于徑向基函數(shù)(Radical Basis Function, RBF)神經(jīng)網(wǎng)絡(luò)進(jìn)行態(tài)勢預(yù)測的方法[15]，該方法通過訓(xùn)練RBF神經(jīng)網(wǎng)絡(luò)找出態(tài)勢值得前N個數(shù)據(jù)和隨后M個數(shù)據(jù)的非線性映射關(guān)系，進(jìn)而利用該關(guān)系進(jìn)行態(tài)勢值預(yù)測。為了提高RBF神經(jīng)網(wǎng)絡(luò)的預(yù)測精度，文獻(xiàn)[16]利用混合的遞階遺傳算法(Hierarchical Genetic Al gorithm, HGA)的全局搜索能力來更好地優(yōu)化RBF神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)和參數(shù)，然后使用訓(xùn)練好的RBF網(wǎng)絡(luò)構(gòu)建一個預(yù)測模型來預(yù)測未來網(wǎng)絡(luò)安全態(tài)勢。文獻(xiàn)[17]中基于小波神經(jīng)網(wǎng)絡(luò)(Wavelet Ne ural Netw ork, WN N)給出了網(wǎng)絡(luò)安全態(tài)勢感知的定量預(yù)測方法。

研究者在文獻(xiàn)[18]中基于Endsley的態(tài)勢感知三階段給出了自己的網(wǎng)絡(luò)安全態(tài)勢感知模型，此模型具有3層結(jié)構(gòu)，分別為數(shù)據(jù)、信息、知識。研究者采用Snort和NetFlow作為傳感器來收集實時的網(wǎng)絡(luò)流數(shù)據(jù)，然后采用多層前饋神經(jīng)網(wǎng)絡(luò)進(jìn)行信息的融合，給出了簡潔有效的特征精簡方法，減少了輸入向量并改進(jìn)了融合機制的實時性。另外為了給出被監(jiān)控網(wǎng)絡(luò)的實時安全態(tài)勢，研究者還提供了一個態(tài)勢生成機制。

2.5 基于HMM和馬爾科夫博弈論的態(tài)勢感知

隱馬爾科夫模型(Hidden Markov Models, HMM)是對馬爾科夫模型的一種擴充，可以描述為由一個不可觀測的、隱含的隨機過程支持的可觀測的隨機過程。關(guān)于馬爾科夫模型及隱馬爾科夫模型的深入了解與學(xué)習(xí)可以參考文獻(xiàn)[19]。馬爾科夫博弈論(Markov Game Theory, MGT)概念由決策者、狀態(tài)空間、行動空間、轉(zhuǎn)換規(guī)則、支付函數(shù)和決策等相關(guān)定義描述[20]，它是一種隨機的、動態(tài)的博弈論，能夠抓住網(wǎng)絡(luò)沖突的性質(zhì)，很好地處理可用的不完整、不確定信息集。

有研究者將HMM用在態(tài)勢的趨勢識別即態(tài)勢預(yù)測的相關(guān)研究中[21]，指出現(xiàn)存研究框架僅依賴于一種或者一類傳感器的不足，給出了自己的系統(tǒng)框架，通過分析不同傳感器獲得的信息，預(yù)測入侵者的意圖，文獻(xiàn)給出了模擬實例并完成入侵意圖識別，但文獻(xiàn)中在描述采用HMM進(jìn)行趨勢識別時并沒有說明過程僅依賴現(xiàn)在而不依賴過去的馬爾科夫性的適用性，同時實例只是針對自己的模型進(jìn)行特定的參數(shù)配置，缺乏一定的通用性及推廣能力，所以還具有一定的局限性，還需更多的工作繼續(xù)深一步的研究。

文獻(xiàn)[20]提出馬爾科夫博弈論能夠捕獲網(wǎng)絡(luò)沖突的特性：防御方的策略決策跟攻擊方的策略決策相耦合對應(yīng)。研究者首先基于JDL模型給出自己的用于賽博態(tài)勢感知的框架，其中主要包括2個模塊：數(shù)據(jù)融合模塊和動態(tài)自適應(yīng)特征識別模塊，后者能夠產(chǎn)生原始識別數(shù)據(jù)并學(xué)習(xí)新發(fā)現(xiàn)的或未知的賽博攻擊。其次考慮到中立者可能為了最小化自己的損失而采取行動偏向攻擊方或者防御方，在博弈論應(yīng)用中創(chuàng)新性地引入中立方。研究者介于三方參與的博弈及攻擊方和防御方又不是完全對立的，采用了非零和博弈。另外在博弈論的決策方面采用混合納什平衡(Nash Equilibrium, NE)決策，其中每個參與者只需考慮平均支付函數(shù)。

2.6 數(shù)據(jù)融合方式評述及發(fā)展趨勢

數(shù)據(jù)融合方式在態(tài)勢感知中處理多源異構(gòu)數(shù)據(jù)的應(yīng)用研究比較成熟，算法各具優(yōu)越性，貝葉斯網(wǎng)絡(luò)具有神經(jīng)網(wǎng)絡(luò)和圖論的優(yōu)點，它使用概率論來處理不確定性，提供了一種將知識直覺地圖解可視化的方法；D-S證據(jù)理論支持描述不同等級的精確度和直接引入對未知不確定性的描述；粗糙集理論具有能從海量數(shù)據(jù)中發(fā)現(xiàn)有用規(guī)律并將其轉(zhuǎn)化為邏輯規(guī)則的優(yōu)勢；安全態(tài)勢值具有非線性時間序列的特點，而神經(jīng)網(wǎng)絡(luò)具有處理非線性數(shù)據(jù)的優(yōu)勢；賽博空間入侵者具有相對確定的意圖，采用意向圖進(jìn)行意圖識別形成一種新穎的研究方式，將隱馬爾科夫用于意圖識別能夠從多傳感器融合數(shù)據(jù)，得到正確的識別與認(rèn)知；將博弈論應(yīng)用于賽博空間防御研究，馬爾科夫博弈論模型采用分布式結(jié)構(gòu)，能夠有效為賽博空間的不確定因素進(jìn)行建模，并能很好地抓住網(wǎng)絡(luò)沖突的性質(zhì)。

目前數(shù)據(jù)融合方式中的研究呈現(xiàn)實驗數(shù)據(jù)量小、實驗數(shù)據(jù)針對性強、算法缺乏高效性等缺點，并且雖然從多維度融合給出賽博空間當(dāng)前態(tài)勢值，但缺乏具體模塊化的態(tài)勢值，模塊化態(tài)勢值對于決策者做決策更有意義。

在多源異構(gòu)信息的處理中，目前已有很多研究者將多種融合方式結(jié)合起來進(jìn)行研究，例如貝葉斯網(wǎng)絡(luò)與攻擊圖的結(jié)合、貝葉斯網(wǎng)絡(luò)與粗糙集理論的結(jié)合，這種算法結(jié)合研究是一種將來的研究趨勢。對于單一融合方式的研究，從時間復(fù)雜度及空間復(fù)雜度的優(yōu)化性出發(fā)進(jìn)行算法的創(chuàng)新性改進(jìn)，也是一種研究趨勢。

3 決策方式綜述

決策一詞的意思就是為了到達(dá)一定目標(biāo)，采用一定的科學(xué)方法和手段，從2個以上的方案中選擇一個滿意方案的分析判斷過程。態(tài)勢感知中數(shù)據(jù)融合的最終目標(biāo)是讓操作者了解當(dāng)前賽博空間的狀況從而掌握全局態(tài)勢，做出相應(yīng)決策。很多文獻(xiàn)從如何做決策的角度出發(fā)，針對態(tài)勢感知中多源異構(gòu)信息的處理方式進(jìn)行相關(guān)研究，并有研究者考慮到?jīng)Q策過程中個人因素的影響，將心理學(xué)的認(rèn)知過程納入決策研究。

3.1 基于認(rèn)知心理學(xué)的態(tài)勢感知決策方式

認(rèn)知，指通過心理活動獲取知識。在態(tài)勢感知中的認(rèn)知應(yīng)用研究主要是基于認(rèn)知心理學(xué)信息加工論，信息加工論主要涉及信息的獲得、存儲、加工、提取和應(yīng)用。研究者分別將認(rèn)知應(yīng)用到了人作為高效率、實時決策者的研究中和賽博空間的決策框架研究中。

Endsley早期從人的認(rèn)知角度對態(tài)勢感知進(jìn)行了相關(guān)研究，文獻(xiàn)[22]指出隨著動態(tài)、復(fù)雜系統(tǒng)的出現(xiàn)，操作者的態(tài)勢感知在系統(tǒng)的決策和性能中成為關(guān)鍵部分，態(tài)勢感知過程跟操作者對于當(dāng)前環(huán)境的知識狀態(tài)有關(guān)，它主要由操作者對相關(guān)元素的感知、操作者對目標(biāo)有關(guān)的元素的理解和基于這些理解對環(huán)境未來狀態(tài)的預(yù)測結(jié)合而成。研究者給出了一個考慮人的態(tài)勢感知的決策模型，并指出真正的態(tài)勢感知不僅是大量數(shù)據(jù)的融合，還需要基于操作者目標(biāo)相關(guān)的更高水平的態(tài)勢理解及系統(tǒng)將來狀態(tài)的預(yù)測。文獻(xiàn)還考慮了任務(wù)和系統(tǒng)因素，它們也會影響個人態(tài)勢獲取能力，并就這些因素對系統(tǒng)設(shè)計等展開研究。此研究的創(chuàng)新性在于將人的因素納入對空間態(tài)勢獲取的研究，基于信息加工論提出了人的態(tài)勢感知概念并給出了模型。

3.2 基于邏輯學(xué)的態(tài)勢感知決策方式

在安全分析中，計算機攻擊條件的邏輯關(guān)系顯得日益重要[23]，研究者在脆弱性分析中通過對這種關(guān)系的建模也生成多種解決方案[24-25]，他們在建模中都采用了某些確定邏輯：一個攻擊的前置條件成立，則后置條件成立。文獻(xiàn)[23]指出，上述確定邏輯并沒有考慮到賽博安全分析的不確定性。

介于確定邏輯的局限性，研究者提出了一種基于經(jīng)驗的邏輯方法進(jìn)行決策研究[23]。文獻(xiàn)根據(jù)人的基于經(jīng)驗的思維方式設(shè)計邏輯規(guī)則，并將此邏輯模型分為2個部分：觀察推理用來將觀察結(jié)果映射到內(nèi)部條件，內(nèi)部模型用來分析內(nèi)部條件的邏輯關(guān)系。相對于以前的融合和決策方法直接應(yīng)用現(xiàn)存的模型進(jìn)行研究，此文獻(xiàn)直接從底層基礎(chǔ)開始設(shè)計一個接近人類推理的邏輯模型，此模型的另一個優(yōu)點是相對于結(jié)論成立的條件是以邏輯證明的形式給出的，這使得在達(dá)成這個結(jié)論過程中什么條件被應(yīng)用或什么條件被假設(shè)更加清楚。

3.3 基于風(fēng)險管理的態(tài)勢感知決策方式

賽博空間態(tài)勢感知不確定性研究的另一個重要方面是系統(tǒng)中存在的靜態(tài)不確定性或者固有風(fēng)險。固有風(fēng)險的分析和管理在安全投入的決策中顯得尤其重要。文獻(xiàn)[23]指出隨著目前網(wǎng)絡(luò)應(yīng)用的擴大，相關(guān)應(yīng)用中的漏洞經(jīng)常被發(fā)現(xiàn)，且被用來進(jìn)行階段性賽博攻擊，但并不存在一種客觀的方法來評估網(wǎng)絡(luò)的安全性，通過增加安全投入可以減少與安全相關(guān)的風(fēng)險，在這方面的權(quán)衡分析需要一個量化的安全模型。

通用漏洞評分系統(tǒng)(Common Vulnerability Scoring System, C VSS)[26]是一個行業(yè)公開標(biāo)準(zhǔn)，被設(shè)計用來評測漏洞的嚴(yán)重程度，并幫助確定所需反應(yīng)的緊急度和重要度。文獻(xiàn)[23]提出CVSS只提供了單個漏洞的分?jǐn)?shù)，并不能提供一個合理的方法為網(wǎng)絡(luò)中一系列漏洞提供一種集成的度量方式，以便得到網(wǎng)絡(luò)安全的整體分?jǐn)?shù)。研究者基于上述問題提出將CVSS與攻擊圖相結(jié)合，攻擊圖可以被用來進(jìn)行漏洞間的因果關(guān)系建模，很多文獻(xiàn)中也研究了基于攻擊圖的CVSS度量。研究者結(jié)合攻擊圖進(jìn)行CVSS度量相關(guān)研究，能夠比較好地利用多源異構(gòu)數(shù)據(jù)形成系統(tǒng)當(dāng)前漏洞狀態(tài)整體度量值，為賽博空間態(tài)勢感知中處理靜態(tài)不確定性數(shù)據(jù)進(jìn)而正確理解當(dāng)前態(tài)勢的研究提供了方向或理論依據(jù)。

3.4 決策方式評述及發(fā)展趨勢

決策方式的研究彰顯了交叉學(xué)科研究的創(chuàng)新性及優(yōu)越性，從認(rèn)知心理學(xué)出發(fā)能夠?qū)⒉僮髡叩臎Q策及分析能力作為因素納入多源異構(gòu)信息的處理框架研究中；基于經(jīng)驗的邏輯方法的提出能夠從底層處理觀察到的多源異構(gòu)數(shù)據(jù)，并將邏輯預(yù)處理結(jié)果映射到內(nèi)部進(jìn)行內(nèi)部關(guān)系分析，便于跟蹤入侵者意圖；針對靜態(tài)不確定性數(shù)據(jù)的處理，將通用漏洞評分系統(tǒng)與攻擊圖相結(jié)合，能夠利用攻擊圖的因果關(guān)系建模，形成系統(tǒng)當(dāng)前整體度量值。

決策方式的研究是從做決策的角度出發(fā)，為多源異構(gòu)數(shù)據(jù)處理提供決策框架及框架所需的設(shè)計因素，并不會向數(shù)據(jù)融合方式提供一個最終的定量的態(tài)勢度量值。

賽博空間態(tài)勢感知中引入交叉學(xué)科的研究，能夠讓研究者從一個全新的角度尋求新穎的多源異構(gòu)數(shù)據(jù)處理方式及優(yōu)化方式，例如很多與生物免疫學(xué)的交叉研究，這是一種比較新的研究趨勢。

4 結(jié)束語

針對目前賽博空間態(tài)勢感知研究中對多源異構(gòu)信息的處理方式，本文從數(shù)據(jù)融合與決策方法2個角度綜述了當(dāng)前研究比較前沿的解決方案，即5種數(shù)據(jù)融合算法以及3種決策方法，給出融合算法及決策方法的優(yōu)缺點并指出今后的發(fā)展趨勢，可以作為該領(lǐng)域后續(xù)研究的理論基礎(chǔ)參考。后續(xù)研究將會致力于提出更高效、優(yōu)化的適用于多源異構(gòu)數(shù)據(jù)處理的融合算法，著重考慮融合算法的結(jié)合研究及算法的普適性。在決策方法的研究中，將致力于認(rèn)知心理學(xué)及邏輯學(xué)的研究，提出更全面的態(tài)勢感知決策框架，讓態(tài)勢分析者實時、準(zhǔn)確地掌握當(dāng)前態(tài)勢，并做出相關(guān)決策及未來趨勢預(yù)測。

[1] 王慧強, 賴積保, 朱 亮, 等. 網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)研究綜述[J]. 計算機科學(xué), 2006, 33(10): 5-10.

[2] Hall D L, Llinas J. An I ntroduction to Multisensor Data Fusion[J]. Proceedings of the IEEE, 1997, 85(1): 6-23.

[3] Salerno J. Information Fusion: A High-le vel Architecture Overview[C]//Proc. of the 5th In ternational Conf erence on Information Fusion. Annapolis, USA: IEEE Press, 2002: 680-686.

[4] 張連文, 郭海鵬. 貝葉斯網(wǎng)引論[M]. 北京: 科學(xué)出版社, 2006.

[5] 羅 文, 李敏勇, 張曉銳. 基于貝葉斯網(wǎng)絡(luò)的態(tài)勢認(rèn)識[J].火力與指揮控制, 2010, 35(3): 89-92.

[6] 周志強, 張曉燕. 基于貝葉斯網(wǎng)絡(luò)的博弈融合態(tài)勢評估方法[J]. 計算機與數(shù)字工程, 2008, 36(10): 17-19.

[7] 戴亞平, 劉 征, 郁光輝. 多傳感器數(shù)據(jù)融合理論及應(yīng)用[M]. 北京: 北京理工大學(xué)出版社, 2004.

[8] 諸葛建偉, 王大為, 陳 昱, 等. 基于D-S證據(jù)理論的網(wǎng)絡(luò)異常檢測方法[J]. 軟件學(xué)報, 2006, 17(3): 463-471.

[9] Qu Zhaoyang, Li Yaying, Li Pen g. A Network Sec urity Situation Evaluation Method Based on D-S Evidence Theory[C]//Proc. of ESIAT’10. Wuhan, China: [s. n.], 2010: 496-499.

[10] 苗奪謙, 李道國. 粗糙集理論, 算法與應(yīng)用[M]. 北京:清華大學(xué)出版社, 2008.

[11] 梁 穎, 王慧強, 賴積保. 一種基于粗糙集理論的網(wǎng)絡(luò)安全態(tài)勢感知方法[J]. 計算機科學(xué), 2007, 34(8): 95-97.

[12] Meng Guanglei, Gong Guanghong. Algorithm of Battlefield Situation Assessment Based on Bayesian Network and Rough Set Theory[C]//Proc. of the 7th I nternational Conference on System Simulation and Scientific C omputing. Beijing, China: [s. n.], 2008: 776-779.

[13] Wang Xiaofan, Wang Baoshu. Methods for Situation Assessment of Multi-at tribute D ecision Making B ased on R ough Sets[C]//Proc. of the 6th International Conference on Fuzz y Systems and Knowledge Discove ry. Tianjin, China: [s. n.], 2009: 325-328.

[14] 韓力群. 人工神經(jīng)網(wǎng)絡(luò)教程[M]. 北京: 北京郵電大學(xué)出版社, 2006.

[15] 任 偉, 蔣興浩, 孫錟鋒. 基于RBF神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法[J]. 計算機工程與應(yīng)用, 20 06, 4 2(31): 136-138.

[16] 孟 錦, 馬 馳, 何加浪, 等. 基于HHGA-RBF神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型[J]. 計算機科學(xué), 2 011, 38(7): 70-72.

[17] Lai Jibao, Wang Huiqiang, Liu Xiaowu, et al. A Quantitative Prediction Method of Net work S ecurity Situation Based o n Wavelet N eural N etwork[C]//Proc. of the 1st International Symposium on Data, Privacy, a nd E-commerce. Cheng du, China: [s. n.], 2007: 197-202.

[18] Wang Hui qiang, Liu Xiao wu, Lai Jibao, et al. Net work Security Situation Awareness Based on Heterogeneous Multi-sensor Data Fusion and Neural Network[C]//Proc. of the 2nd Internation al Multi-symposiums on Computer and Computational S ciences. Io wa, USA: IEE E Press, 2007: 352-359.

[19] Rabiner L R. A T utorial o n Hidden Mark ov M odels and Selected Applications in Speech Recognition[J]. Proceedings of the IEEE, 1989, 77(2): 257-286.

[20] Shen Dan, Chen Genshe, Cruz J B, et al. A Markov Game Theoretic D ata Fusion A pproach for Cyber Situational Awareness[C]//Proc. of IEEE Military C ommunications Conference. Orlando, USA: [s. n.], 2007: 1-7.

[21] Zhang Qiang, Man Dapeng, Yang Wu. Using HMM for Intent Recognition in Cyber Security Situation Awareness[C]//Proc. of the 2nd International Symposium on Knowledge Acquisition and Modeling. W uhan, China: [s. n.], 2009: 166-169.

[22] Endsley M R. Toward a T heory of Situation A wareness i n Dynamic Systems[J]. Human Fa ctors: The Journ al of the Human Factors and Ergonomics Society, 1995, 37(1): 32-64.

[23] Jajodia S, Liu P, Swarup V, et al. Cyber Situational Awareness: Issues and Research[M]. [S. l.]: Springer, 2010.

[24] Ammann P, Wijesekera D, Kaushik S. Scalabl e, Graph-based Network V ulnerability A nalysis[C]//Proc. of the 9th ACM Conference on Computer and Communications Security. New York, USA: ACM Press, 2002: 217-224.

[25] Cheung S, Lindqvist U, Fong M W. Modeling Multistep Cyber Attacks for Scenario Reco gnition[C]//Proc. of DARP A Information Survivability Conference and Exposition. Washington D. C., USA: IEEE Press, 2003: 284-292.

[26] Mell P, Scarfone K, Romanosky S. A Complete Guide to the Common Vulnerability Scoring System Version 2.0[M]. [S. l.]: FIRST.org, Inc., 2007.

編輯 任吉慧

Review of Date Fusion and Decision-making Methods in Situation Awareness

GAI Wei-lina, XIN Dana, WANG Lub, LIU Xina, HU Jian-binb

(a. School of Software and Microelectronics; b. School of Electronics Engineering and Computer Science, Peking University, Beijing 100871, China)

In the research of cyberspace situation aw areness, how to deal with uncertain, inaccurate multi-source heterogeneous

information is an important problem which needs to be solved in the process of situational understanding. In order to accurately handle with the information, improve the a wareness of the situation, make the situation more accu racy, timeliness and overall, the paper reviews the existing technology focus, mainly including data fusion methods and decision-making methods. Data fusion methods mainly includes Bayesian network, D-S evidence theory, rough set theory, neural network, hidden Markov model and Markov game theory methods, and decision-making mainly includes cognitive psychology, logic and risk management methods. Research results show that current technology focuses present diversity, but still has great space for improvement in both the situation generation application and verification.

cyberspace; situation awareness; multi-source heterogeneous; data fusion; decision-making

10.3969/j.issn.1000-3428.2014.05.005

蓋偉麟(1987－)，男，碩士研究生，主研方向：網(wǎng)絡(luò)與信息安全，態(tài)勢感知；辛 丹、王 璐，碩士研究生；劉 欣，講師、博士；胡建斌，副教授、博士。

2013-03-05

2013-05-08E-mail：gaiweilin54070225@163.com

1000-3428(2014)05-0021-05

A

TP311.13