吳朝雄，王曉程，王紅艷，石 波

（中國航天科工集團(tuán)第二研究院706所，北京100854）

0 引 言

在網(wǎng)絡(luò)安全態(tài)勢感知［1］的研究方面，主要有算法在網(wǎng)絡(luò)態(tài)勢中的應(yīng)用及算法優(yōu)化，如D－S證據(jù)理論預(yù)測［2］、神經(jīng)網(wǎng)絡(luò)、灰度理論等，信息融合的網(wǎng)絡(luò)安全態(tài)勢評(píng)估模型［3，4］、大規(guī)模網(wǎng)絡(luò)安全態(tài)勢技術(shù)研究［5］、流量態(tài)勢感知的研究［6］、網(wǎng)絡(luò)安全態(tài)勢評(píng)估方法的分析［7］等。然而，網(wǎng)絡(luò)安全態(tài)勢感知方面的研究仍然存在以下一些問題：

（1）態(tài)勢感知定義模糊，沒有統(tǒng)一的理解。態(tài)勢感知的理解和定義目前仍然存在著很大的爭議，不少研究人員對(duì)態(tài)勢感知都有自己的見解，但是都未形成標(biāo)準(zhǔn)。

（2）網(wǎng)絡(luò)安全態(tài)勢感知缺乏精確的數(shù)學(xué)模型。目前所說的網(wǎng)絡(luò)安全態(tài)勢感知模型實(shí)際上是指網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)結(jié)構(gòu)和框架，并沒有固定的數(shù)學(xué)知識(shí)表達(dá)模型。

（3）對(duì)復(fù)雜網(wǎng)絡(luò)攻擊缺乏感知的方法、工具。實(shí)時(shí)精確檢測復(fù)雜網(wǎng)絡(luò)攻擊是保證度量網(wǎng)絡(luò)安全態(tài)勢感知準(zhǔn)確的基礎(chǔ)和支撐。因此，提高對(duì)復(fù)雜網(wǎng)絡(luò)攻擊感知是首要解決的問題。

（4）網(wǎng)絡(luò)安全態(tài)勢感知缺乏實(shí)時(shí)性。不管是網(wǎng)絡(luò)安全態(tài)勢預(yù)測還是評(píng)估方面，都缺乏時(shí)效性，不能及時(shí)的給系統(tǒng)管理員呈現(xiàn)安全態(tài)勢信息。

本文針對(duì)上述 （3）、 （4）兩點(diǎn)不足之處，主要從攻擊威脅角度出發(fā)，設(shè)計(jì)了一種模塊化的實(shí)時(shí)感知系統(tǒng)結(jié)構(gòu)，并在結(jié)構(gòu)中提出了基于粗糙集 （rough set，RS）和事件流處理 （event stream processing，ESP）相結(jié)合的實(shí)時(shí)網(wǎng)絡(luò)安全威脅態(tài)勢感知方法。該方法和技術(shù)在一定程度上提高了對(duì)復(fù)雜網(wǎng)絡(luò)攻擊感知的能力并解決了網(wǎng)絡(luò)安全威脅態(tài)勢分析的時(shí)效性。

1 系統(tǒng)模塊化結(jié)構(gòu)模型

RS是一門基于分類思想研究不確定性和不精確問題的理論。波蘭科學(xué)家Pawlak提出了粗糙集的概念［8］。粗糙集在知識(shí)發(fā)現(xiàn)中的應(yīng)用主要體現(xiàn)在使用等價(jià)關(guān)系對(duì)數(shù)據(jù)進(jìn)行聚類形成等價(jià)集合，對(duì)屬性、對(duì)象進(jìn)行約簡計(jì)算，提取決策規(guī)則［9］基于粗糙集提取出的規(guī)則能夠更好的客觀描述樣本數(shù)據(jù)屬性之間的本質(zhì)關(guān)系。而且粗糙集與證據(jù)理論、概率論、模糊集理論等理論相比，其最大的優(yōu)勢在于粗集理論不需要任何的先驗(yàn)知識(shí)和專家知識(shí)，因此推理出的知識(shí)是客觀可信的［10］。ESP 是一種從大量持續(xù)性事件流中過濾、分析出有意義的事件，并能夠?qū)崟r(shí)取得這些有意義的信息的技術(shù)，且其分析引擎具有較高的吞吐量［11］。根據(jù)網(wǎng)絡(luò)安全態(tài)勢感知中的數(shù)據(jù)特點(diǎn)，本文將RS以及ESP 引入到網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)中。系統(tǒng)分為在線和離線感知兩部分。系統(tǒng)主要由數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、知識(shí)發(fā)現(xiàn)、實(shí)時(shí)攻擊感知、安全態(tài)勢分析、態(tài)勢可視化等模塊組成。如圖1所示。

圖1 基于RS－ESP的系統(tǒng)結(jié)構(gòu)模型

數(shù)據(jù)采集收集多源異構(gòu)的安全事件數(shù)據(jù)，數(shù)據(jù)預(yù)處理是對(duì)各種安全事件的標(biāo)準(zhǔn)化。知識(shí)發(fā)現(xiàn)模塊的數(shù)據(jù)源來源于兩部分，一部分是已有的復(fù)雜攻擊樣本數(shù)據(jù)庫，另一部分是則來源于采集到的安全事件。實(shí)時(shí)攻擊感知既接收標(biāo)準(zhǔn)化后的數(shù)據(jù)流，也接受攻擊知識(shí)庫中的復(fù)雜攻擊規(guī)則。安全態(tài)勢分析接收攻擊感知的結(jié)果對(duì)安全態(tài)勢進(jìn)行分析，并同時(shí)進(jìn)行可視化的展示。

2 基于RS－ESP的態(tài)勢感知方法

2.1 實(shí)時(shí)態(tài)勢感知思想

大規(guī)模網(wǎng)絡(luò)下的安全態(tài)勢感知其處理的數(shù)據(jù)是海量的，通過RS理論能夠很好的從已有的小樣本攻擊態(tài)勢數(shù)據(jù)中發(fā)現(xiàn)真正有意義的復(fù)雜攻擊知識(shí)，揭示潛在的復(fù)雜攻擊規(guī)律。同時(shí)通過ESP技術(shù)結(jié)合發(fā)現(xiàn)的復(fù)雜攻擊規(guī)則能夠?qū)崿F(xiàn)在線對(duì)網(wǎng)絡(luò)環(huán)境中的安全事件進(jìn)行動(dòng)態(tài)分析，從而為實(shí)時(shí)網(wǎng)絡(luò)安全態(tài)勢分析提供基礎(chǔ)。實(shí)時(shí)態(tài)勢感知的基本思想是通過RS理論從攻擊態(tài)勢樣本數(shù)據(jù)集中建立攻擊態(tài)勢決策表，對(duì)攻擊態(tài)勢決策表中的屬性約簡得到精簡的攻擊態(tài)勢決策表，最后通過計(jì)算屬性之間的依賴度，提取出復(fù)雜的攻擊規(guī)則。ESP將提取的攻擊規(guī)則按照一定的規(guī)定轉(zhuǎn)換成機(jī)器所能識(shí)別和運(yùn)行的語言，然后在線對(duì)網(wǎng)絡(luò)安全事件流進(jìn)行上下文關(guān)聯(lián)分析，并將分析的結(jié)果提供給實(shí)時(shí)態(tài)勢分析和態(tài)勢可視化。實(shí)時(shí)態(tài)勢分析根據(jù)攻擊感知的結(jié)果，對(duì)整體網(wǎng)絡(luò)安全態(tài)勢進(jìn)行分析，從而得到對(duì)網(wǎng)絡(luò)安全態(tài)勢的整體把握。實(shí)時(shí)網(wǎng)絡(luò)安全態(tài)勢感知流程如圖2所示。

圖2 基于RS－ESP的實(shí)時(shí)態(tài)勢感知流程

2.2 構(gòu)建攻擊態(tài)勢決策表

RS將客觀世界抽象為一個(gè)信息系統(tǒng)。信息系統(tǒng)由四元組S 表示，S＝＜U，A，V，f＞。U 是對(duì)象或者事例的有限集合，稱作論域，A 是屬性的有限集合。V 是屬性值的值域，f 是信息函數(shù)，即f：U×A→V，f（xi，Aj）∈Vj，其中xi∈U，Aj∈A。屬性集A 又常常分為兩個(gè)集合C 和D，即C∪D＝A，C∩D＝，C 表示條件屬性集，D 表示決策屬性集，將帶有條件屬性集和決策屬性集的系統(tǒng)稱為決策系統(tǒng)，記為S＝＜U，C∪D，V，f＞。

在網(wǎng)絡(luò)安全態(tài)勢感知中，安全告警事件集對(duì)應(yīng)論域U，即簡單攻擊相互組合后所形成的復(fù)雜攻擊，各單個(gè)簡單攻擊為條件屬性集C，這些一連串的簡單攻擊對(duì)系統(tǒng)所造成的威脅程度對(duì)應(yīng)決策屬性集D。建立如表1所示的攻擊態(tài)勢信息決策。

表1 信息決策

2.3 約簡攻擊態(tài)勢屬性

對(duì)攻擊態(tài)勢決策表中的條件屬性集進(jìn)行約簡，刪除對(duì)攻擊態(tài)勢決策結(jié)果不產(chǎn)生影響的攻擊條件集。為了理解屬性約簡，做了如下定義。

定義1 對(duì)所有的p∈P，xi，xj∈U，稱為P 對(duì)U 的等價(jià)關(guān)系，記為U／eq（P）

定義2 粗糙集是以上近似和下近似來近似定義粗糙集，其中對(duì)于集合X U，X 的下近似表示為B＿（X）

定義3 等價(jià)關(guān)系B 的子集C 和D，定義D 關(guān)于C 的正域?yàn)镻OSC（D）

定義4 對(duì)任意的Ci∈C，如果刪除屬性Ci使得POSC－Ci（D）＝POSC（D）則稱Ci屬性為無效攻擊態(tài)勢因子。

2.4 提取攻擊規(guī)則

對(duì)于約簡后的攻擊決策表，可以得出表中各屬性之間的依賴關(guān)系，即提取攻擊規(guī)則。本文提取攻擊規(guī)則的原則是算出組合條件屬性對(duì)決策屬性的依賴度，與一般計(jì)算置信度有一定的差別。

定義5 規(guī)定提取的攻擊規(guī)則C→D，規(guī)則的可信度由表示cf也就是說有條件屬性C 可以以cf 的可信度來確定D。cf 越高，表明條件組合C 對(duì)D 的影響程度越大。

2.5 ESP實(shí)時(shí)分析

ESP實(shí)時(shí)分析實(shí)際上是對(duì)網(wǎng)絡(luò)攻擊的實(shí)時(shí)感知，其將由RS獲取到的復(fù)雜攻擊規(guī)則集轉(zhuǎn)換成ESP 分析引擎所能識(shí)別的語句，從而實(shí)現(xiàn)對(duì)流經(jīng)其引擎的安全事件流進(jìn)行上下文關(guān)聯(lián)分析，及時(shí)發(fā)現(xiàn)惡意的、潛在的復(fù)雜網(wǎng)絡(luò)攻擊行為。本文引入了Esper作為ESP 的分析引擎，對(duì)復(fù)雜網(wǎng)絡(luò)攻擊進(jìn)行分析處理。

Esper處理的事件一般是實(shí)時(shí)或者近實(shí)時(shí)的事件。其核心模塊包括事件處理語言 （event process languange，EPL）語法解析引擎、事件處理、事件監(jiān)聽機(jī)制等。Esper主要應(yīng)用在實(shí)時(shí)性要求比較高的行業(yè)，如股票、金融方面。因此其處理實(shí)時(shí)性方面的特點(diǎn)與本文的實(shí)時(shí)性要求很吻合。ESP實(shí)時(shí)分析引擎 （Esper）表面看和IDS相似，但是他們之間有著巨大的差別：

（1）處理對(duì)象不同。前者處理的對(duì)象包括數(shù)據(jù)流、事件流，處理對(duì)象更為高層和抽象。而后者處理對(duì)象為數(shù)據(jù)包。

（2）處理速度不同。前者具有很高的吞吐率和較快的處理速度，面對(duì)大數(shù)據(jù)量時(shí)不出現(xiàn)速度瓶頸，具有較高的吞吐率。同時(shí)還支持協(xié)同分布式部署和處理。后者面對(duì)大數(shù)據(jù)量時(shí)容易出現(xiàn)處理速度瓶頸，且后者不支持協(xié)同分布式處理。

（3）處理復(fù)雜度不同。前者能夠處理復(fù)雜的對(duì)象和事件，因?yàn)槠渚哂袕?qiáng)大的存儲(chǔ)記憶力，能夠在線關(guān)聯(lián)上下文，支持多級(jí)處理模式。而后者則不具備存儲(chǔ)記憶力，IDS 屬于即時(shí)處理，不具備關(guān)聯(lián)能力，因此IDS只能檢測簡單的單步攻擊。

一次簡單攻擊可以用十元組AttackR＝＜rulename，sip，dip，sport，dport，psign，timestamp，timeout，reality，pri＞來表示，其中rulename為規(guī)則名稱，sip 表示源IP，dip 表示目的IP，dport表示目的端口，psign 表示信息的類型，pro表示協(xié)議類型，timestamp 表示攻擊發(fā)生的時(shí)間，timeout表示攻擊之間的時(shí)間窗口，reality 表示攻擊成功度，reality 值越大也說明攻擊成功的可能性越高，取值范圍為1～5，pri代表該攻擊的重要程度，取值范圍為1～5。復(fù)雜攻擊是由一個(gè)或者多個(gè)像這樣的十元組形成的一條攻擊鏈路，形如AttackR1→…→AttackRi→…→AttackRn。ESP對(duì)通過逐級(jí)模式匹配完成對(duì)復(fù)雜網(wǎng)絡(luò)攻擊的感知和分析。其復(fù)雜攻擊分析模型如圖3所示。

圖3 復(fù)雜攻擊分析模型

復(fù)雜攻擊分析模型由過濾器，觸發(fā)器，關(guān)聯(lián)器，評(píng)估攻擊值4個(gè)基本模塊組成，過濾器主要負(fù)責(zé)除雜和分流的任務(wù)，觸發(fā)器根據(jù)上一級(jí)關(guān)聯(lián)分析結(jié)果判斷是否需要觸發(fā)下一級(jí)的關(guān)聯(lián)分析執(zhí)行。關(guān)聯(lián)器按照復(fù)雜攻擊規(guī)則對(duì)接收到的事件流進(jìn)行關(guān)聯(lián)計(jì)算，評(píng)估攻擊值模塊根據(jù)當(dāng)前的資產(chǎn)信息、攻擊規(guī)則以及當(dāng)前攻擊評(píng)估當(dāng)前攻擊的攻擊威脅值attvalue。ESP分析引擎對(duì)安全事件流的整個(gè)分析過程都是通過EPL語句進(jìn)行模式匹配分析完成。

同時(shí)，通過復(fù)雜攻擊分析模型可以看出該模型結(jié)構(gòu)是一個(gè)級(jí)聯(lián)結(jié)構(gòu)，能夠支持多級(jí)擴(kuò)展，因此對(duì)于變長的復(fù)雜鏈路攻擊具有較好的適應(yīng)性和擴(kuò)展性。

2.6 實(shí)時(shí)安全威脅態(tài)勢分析

為了簡化網(wǎng)絡(luò)結(jié)構(gòu)，本文從服務(wù)、主機(jī)、網(wǎng)絡(luò)系統(tǒng)3個(gè)層面分析網(wǎng)絡(luò)安全威脅態(tài)勢。

服務(wù)層威脅：針對(duì)服務(wù)層的攻擊對(duì)服務(wù)的威脅程度，用TS 表示

num 發(fā)生的次數(shù)。attvalue由式 （3）計(jì)算得出

式中：asset——資產(chǎn)值，其取值范圍為1～3，nl——一條復(fù)雜攻擊規(guī)則鏈路的長度，rl——當(dāng)前復(fù)雜攻擊鏈路的長度。通過式 （3）計(jì)算攻擊值能夠較為真實(shí)的反映出復(fù)雜攻擊給服務(wù)帶來的影響。

主機(jī)層威脅：所有主機(jī)上開放的服務(wù)受到攻擊后對(duì)主機(jī)的威脅程度，用TH 表示

式中：SP——該服務(wù)在所有主機(jī)開通的服務(wù)中所占的比重。

系統(tǒng)層威脅：所有受攻擊的主機(jī)對(duì)體統(tǒng)的威脅程度，用TN 表示

式中：HP——主機(jī)所占重要度的權(quán)重，用資產(chǎn)來進(jìn)行衡量

3 實(shí)驗(yàn)仿真與分析

3.1 實(shí)驗(yàn)環(huán)境

為了測試和驗(yàn)證本文的提出的態(tài)勢感知方法的時(shí)效性，搭建了實(shí)驗(yàn)環(huán)境如圖4所示，實(shí)驗(yàn)中有多臺(tái)PC機(jī)，且每個(gè)PC機(jī)上所開服務(wù)和所存信息也不盡相同。利用外部攻擊軟件對(duì)所搭建的實(shí)驗(yàn)網(wǎng)絡(luò)不定時(shí)的發(fā)動(dòng)攻擊。

圖4 實(shí)驗(yàn)環(huán)境

3.2 安全威脅態(tài)勢建模

為了簡化安全態(tài)勢建模，選取一個(gè)樣本中的數(shù)據(jù)進(jìn)行說明。選取的攻擊樣本包含6 個(gè)條件屬性，即C＝ ｛C1，C2，C3，C4，C5，C6｝＝ ｛ping，SNMP，teardrop，F(xiàn)inger，電子郵件釣魚攻擊，鍵盤記錄木馬｝，決策屬性D 為攻擊對(duì)系統(tǒng)的影響程度，值域?yàn)?～5。

攻擊態(tài)勢決策見表2。

通過2.3節(jié)中的定義，計(jì)算出各個(gè)屬性的有效性，如POSC＝ ｛1，2，3，4，5，6，7，8，9｝，說明屬性C2屬于無效屬性，同理可以計(jì)算出屬性C1，C3，C5，C6屬于有效屬性，屬性C2，C4無效屬性，得到如表3所示的攻擊態(tài)勢約簡。

表2 攻擊態(tài)勢決策

表3 攻擊態(tài)勢約簡

對(duì)表3中的數(shù)據(jù)進(jìn)行復(fù)雜攻擊規(guī)則提取，選取不同的攻擊屬性組合，得到不同的規(guī)則，如將C5，C6作為一個(gè)組合，即可得到C5C6→D 的可信度為0.67，同理可以計(jì)算出表中所有可能合理的規(guī)則。將得到的規(guī)則轉(zhuǎn)換為EPL 語句用來對(duì)安全事件流進(jìn)行關(guān)聯(lián)分析檢測，如圖5所示。

圖5 C5C6→D 關(guān)聯(lián)分析語句

3.3 實(shí)驗(yàn)仿真與分析

首先對(duì)模型中涉及的指標(biāo)進(jìn)行量化，測試環(huán)境中開放了Telnet，DNS，Http，F(xiàn)TP、SMTP、POP3 服務(wù)，各服務(wù)所占的比重SP＝ ｛0.05，0.1，0.3，0.15，0.2，0.2｝，主機(jī)資產(chǎn)的度量按照機(jī)器上存儲(chǔ)數(shù)據(jù)的數(shù)量和重要性度量，asset＝ ｛2，3，3，…，1，2，1｝。HP ＝ ｛0.167，0.5，0.5，…0.167，0.333，0.167｝。將樣本中所有數(shù)據(jù)按照3.2節(jié)的方式建模，部署在實(shí)驗(yàn)環(huán)境中，采集某一天上午11∶00－11∶30的網(wǎng)絡(luò)安全事件，每隔兩分鐘分析一次安全態(tài)，利用式 （5）得到表4所示的分析數(shù)據(jù)。

表4 網(wǎng)絡(luò)安全威脅態(tài)勢值

根據(jù)表4所測得安全態(tài)勢值的MATLAB 曲線如圖6所示。

圖6 實(shí)驗(yàn)結(jié)果

從圖6中可以看出在測試的半小時(shí)內(nèi)實(shí)驗(yàn)網(wǎng)絡(luò)的安全狀況以及趨勢。在第5次到第9次的安全態(tài)勢分析中發(fā)生了較為密集的攻擊行為。同時(shí)，關(guān)于ESP 分析引擎對(duì)攻擊分析的速度也做了統(tǒng)計(jì)分析，單個(gè)ESP 分析引擎在實(shí)驗(yàn)中能達(dá)到5000 條／秒，為實(shí)時(shí)安全威脅態(tài)勢的分析提供了保障。

4 結(jié)束語

本文設(shè)計(jì)了模塊化的實(shí)時(shí)感知系統(tǒng)結(jié)構(gòu)，并結(jié)合RS理論和ESP技術(shù)，實(shí)現(xiàn)了對(duì)復(fù)雜網(wǎng)絡(luò)攻擊的實(shí)時(shí)分析檢測以及以分鐘為單位的網(wǎng)絡(luò)安全威脅態(tài)勢的實(shí)時(shí)分析。本文雖然在一定成都上解決了時(shí)效性問題，但是仍然有其它問題需要深入研究，如，對(duì)RS算法的高效優(yōu)化，優(yōu)化ESP 分析引擎的資源占用、樣本數(shù)據(jù)集的擴(kuò)大等。有關(guān)這些方面的問題還有待更進(jìn)一步的研究。

［1］Bass T.Intrusion systems and multisensor data fusion ［J］.Communications of the ACM，2000，43 （4）：99－105.

［2］SHI Bo，XIE Xiaoquan.Research on network security situation forecast method based on DS evidence theory ［J］.Computer Engineering and Design，2013，34 （3）：821－825 （in Chinese）.［石波，謝小權(quán).基于D－S證據(jù)理論的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法研究［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2013，34（3）：821－825.］

［3］WEI Yong，LIAN Yifeng，F(xiàn)ENG Dengguo.A network security situational awareness model based on information fusion ［J］.Journal of Computer Research and Development，2009，46（3）：353－362 （in Chinese）. ［韋勇，連一峰，馮登國.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評(píng)估模型 ［J］.計(jì)算機(jī)研究與發(fā)展，2009，46 （3）：353－362.］

［4］LAI Jibao，WANG Ying，WANG Huiqiang，et al.Research on network security situation awareness system architecture based on multi－source heterogeneous sensors ［J］.Computer Science，2011，38 （3）：144－149 （in Chinese）.［賴積保，王穎，王慧強(qiáng)，等.基于多源異構(gòu)傳感器的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)結(jié)構(gòu)研 ［J］.計(jì)算機(jī)科學(xué)，2011，38 （3）：144－149.］

［5］WANG Juan.Research on key technology in large－scale network security situation awareness ［D］.Chengdu：University of Electronic Science and Technology of China，2010：3－6 （in Chinese）. ［王娟.大規(guī)模網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵技術(shù)研究［D］.成都：電子科技大學(xué)，2010：3－6.］

［6］ZUO Ying.Research on cyberspace sitnational awareness technology based on topology and traffic mining ［D］.Beijing：National University of Defense Technology，2010：101－104 （in Chinese）.［卓瑩.基于拓?fù)洌吡髁客诰虻木W(wǎng)絡(luò)態(tài)勢感知技術(shù)研究 ［D］.北京：國防科技大學(xué)研究生院，2010：101－104.］

［7］GONG Zhenghu，ZHUO Ying.Research on cyberspace situational awareness ［J］.Journal of Software，2010，21 （7）：1605－1609 （in Chinese）.［龔正虎，卓瑩.網(wǎng)絡(luò)態(tài)勢感知研究［J］.軟件學(xué)報(bào)，2010，21 （7）：1605－1609.］

［8］Pawlak Z.Rough sets ［J］.International Journal of Information and Computer Science，1982，11 （5）：311－356

［9］Pawlak Z，Gzymala Busse J，Slowinski R.Rough sets ［J］.Communications of the ACM，1995，38 （11）：88－95.

［10］WANG Guoyin，YAO Yiyu，YU Yihong.A survey on rough set theory and applications ［J］.Chinese Journal of Computers，2009，32 （7）：1229－1246 （in Chinese）.［王國胤，姚一豫，于一洪.粗糙集理論與應(yīng)用研究綜述 ［J］.計(jì)算機(jī)學(xué)報(bào)，2009，32 （7）：1229－1246.］

［11］CHENG Suju， WANG Yongjian， MENG You，et al.PMTree：An efficient pattern matching method for event stream processing ［J］.Journal of Computer Research and Development，2012，49 （11）：2481－2484 （in Chinese）.［程蘇琚，王永劍，孟由，等.PMTree：一種高效的事件流模式匹配方法［J］.計(jì)算機(jī)研究與發(fā)展，2012，49（11）：2481－2484.］