基于粗糙集神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評估方法

姜旭煒，文志誠，鄧勇杰

（湖南工業(yè)大學(xué) 計算機與通信學(xué)院，湖南 株洲 412007）

基于粗糙集神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評估方法

姜旭煒，文志誠，鄧勇杰

（湖南工業(yè)大學(xué) 計算機與通信學(xué)院，湖南 株洲 412007）

為克服多源數(shù)據(jù)融合中存在信息高維、冗余和噪音等大量不確定性因素給網(wǎng)絡(luò)安全態(tài)勢評估帶來的復(fù)雜影響，提出一種基于粗糙集神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評估方法。該方法既利用粗糙集理論在機械學(xué)習(xí)、處理冗余信息和特征提取等方面的能力，又結(jié)合神經(jīng)網(wǎng)絡(luò)處理噪音和任意逼近能力構(gòu)造出由指標(biāo)層、離散層、規(guī)則層、決策層組成的態(tài)勢評估模型，并與BP神經(jīng)網(wǎng)絡(luò)方法進(jìn)行對比研究。仿真實驗結(jié)果表明，所提方法偏差較少，更能客觀、準(zhǔn)確地分析網(wǎng)絡(luò)安全狀況。

粗糙集理論；粗糙集神經(jīng)網(wǎng)絡(luò)；態(tài)勢評估

1 背景知識

隨著信息技術(shù)的不斷發(fā)展，各種網(wǎng)絡(luò)應(yīng)用不斷普及，人們對網(wǎng)絡(luò)的信任度和依賴度不斷提高；與此同時，網(wǎng)絡(luò)安全問題日益嚴(yán)峻，安全漏洞、病毒入侵和黑客（DoS/DDoS）攻擊等等網(wǎng)絡(luò)安全事故也隨之不斷地增加；加之，Internet規(guī)模不斷擴大，其復(fù)雜性和不確定性也隨之增加，因此對于安全分析的難度不斷地加大。傳統(tǒng)的網(wǎng)絡(luò)防御設(shè)備和技術(shù)無法對現(xiàn)有的網(wǎng)絡(luò)安全狀況進(jìn)行有效、快捷地分析和防御。海量的網(wǎng)管信息非但不能更好地管理，反而增加了網(wǎng)絡(luò)管理員的負(fù)擔(dān)。在這種情況下，對網(wǎng)絡(luò)面臨的安全風(fēng)險進(jìn)行態(tài)勢感知、分析，以及采取相應(yīng)的防御手段成為目前網(wǎng)絡(luò)安全研究的熱門話題。

態(tài)勢感知（situation awareness，SA）源自于航天飛行的人因研究，此后被廣泛地應(yīng)用于軍事戰(zhàn)場、核反應(yīng)控制系統(tǒng)、空中交通監(jiān)管以及醫(yī)療應(yīng)急調(diào)度等領(lǐng)域。1999年，T. Bass[1]首次提出了網(wǎng)絡(luò)態(tài)勢感知（cyberspace situation awareness，CSA）的概念，并指出“基于融合的網(wǎng)絡(luò)態(tài)勢感知”將成為網(wǎng)絡(luò)管理的發(fā)展方向。態(tài)勢強調(diào)環(huán)境、動態(tài)性以及實體之間的聯(lián)系，是一種狀態(tài)、一種趨勢、一個整體和全局的概念，任何單一的情況或狀態(tài)都不能稱之為態(tài)勢。在實際網(wǎng)絡(luò)環(huán)境中，由于網(wǎng)絡(luò)的動態(tài)性和復(fù)雜性，傳統(tǒng)的網(wǎng)絡(luò)分析方法不能解決網(wǎng)絡(luò)的實際問題，因此態(tài)勢感知技術(shù)應(yīng)運而生，決策者能夠利用態(tài)勢感知工具掌握全局變化規(guī)律，做出正確的決策。

網(wǎng)絡(luò)安全態(tài)勢感知（network security situation awareness，NSSA）是指在現(xiàn)實的網(wǎng)絡(luò)環(huán)境中，在一定時間和空間內(nèi)，對能引起網(wǎng)絡(luò)安全態(tài)勢發(fā)生變化的外界因素進(jìn)行提取、評估和對未來的變化趨勢進(jìn)行預(yù)測。網(wǎng)絡(luò)安全態(tài)勢感知能實時地檢測網(wǎng)絡(luò)面臨的安全風(fēng)險，綜合考慮各方面的影響因素，生成局部或全局的安全態(tài)勢圖，全面地動態(tài)分析網(wǎng)絡(luò)安全狀況，為提高網(wǎng)絡(luò)安全性提供了可靠依據(jù)。

網(wǎng)絡(luò)安全態(tài)勢評估是網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)中的核心與重點內(nèi)容。目前，國內(nèi)外提出了許多種關(guān)于網(wǎng)絡(luò)安全態(tài)勢評估與感知方法，主要包括證據(jù)理論[2]、D-S理論（dempster-shafer）[3]、灰色系統(tǒng)理論、粗糙集理論（rough set theory）[4-5]、神經(jīng)網(wǎng)絡(luò)[6]、模糊邏輯[7]、熵理論[8]和專家系統(tǒng)等。然而在網(wǎng)絡(luò)安全態(tài)勢評估中存在大量的不確定性、不完備的因素（如信息維數(shù)大，指標(biāo)冗余和噪音等）的影響，導(dǎo)致評估過程較為繁瑣，評估結(jié)果的誤差較大。運用單獨的傳統(tǒng)網(wǎng)絡(luò)態(tài)勢評估方法有很多，但是它們有2個共同的缺陷：1）在大規(guī)模網(wǎng)絡(luò)環(huán)境中，管理者面臨龐大且復(fù)雜的數(shù)據(jù)，影響因素較多，導(dǎo)致對態(tài)勢要素提取不全面，冗余數(shù)據(jù)過多及計算復(fù)雜度過大會導(dǎo)致維數(shù)爆炸；2）先驗知識不足和態(tài)勢指標(biāo)過于龐大。

本文提出一種基于粗糙集神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評估方法，本方法以粗糙集和人工神經(jīng)網(wǎng)絡(luò)在數(shù)據(jù)融合方面為基礎(chǔ)[9-10]，利用粗糙集理論的屬性約簡能力對攻擊要素進(jìn)行屬性約簡，求出最簡指標(biāo)規(guī)則來確定隱含層的數(shù)目，構(gòu)造出由指標(biāo)層、離散層、規(guī)則層（前件與后件）、決策層組成的神經(jīng)網(wǎng)絡(luò)評估模型。此方法是在保持整個網(wǎng)絡(luò)處理能力的前提下，通過粗糙集理論處理冗余信息，遴選態(tài)勢因子，精簡評估規(guī)則集，從而優(yōu)化神經(jīng)網(wǎng)絡(luò)中隱含神經(jīng)元、精簡神經(jīng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，減少冗余節(jié)點，提高神經(jīng)網(wǎng)絡(luò)的泛化能力。在對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行綜合評估中，減少大量不可靠主觀因素的影響，幫助網(wǎng)管人員更好地了解網(wǎng)絡(luò)安全狀況。

2 粗糙集理論

粗糙集理論（rough set theory）是由波蘭數(shù)學(xué)家Z. Pawlak教授提出的一種新型處理模糊和不確定性知識的數(shù)學(xué)工具[11]，其主要思想是以不可分辨關(guān)系為基礎(chǔ)，通過引入上近似集和下近似集來描述一個集合；其在保持信息系統(tǒng)分類能力不變的前提下，進(jìn)行知識約簡，最終導(dǎo)出問題分類的決策或分類規(guī)則。

粗糙集理論相比其他處理不精確問題的理論有著明顯的優(yōu)勢，主要表現(xiàn)在沒有任何數(shù)據(jù)集合之外的先驗信息條件下，粗糙集能夠比較客觀地處理不精確問題，從海量歷史數(shù)據(jù)信息中發(fā)現(xiàn)隱含知識，揭示潛在規(guī)律。但粗糙集理論不包含處理原始數(shù)據(jù)的機制，通常需要采用其他互補性的理論與之結(jié)合才能達(dá)到理想的效果，如神經(jīng)網(wǎng)絡(luò)、模糊數(shù)學(xué)等。

2.1 基本概念

設(shè)s=(U, R, V, f)為一個知識表達(dá)系統(tǒng)，其中：論域U={x1, x2, x3, ... , xn}為非空有限集合；R為非空屬性集合，R包括條件屬性C和結(jié)果屬性D，即CD=R；V為屬性a R的值域；f ：U×R→V為一個單射信息函數(shù)，指定論域中任一個元素的屬性值。

2.2 屬性約簡

在一個知識表達(dá)系統(tǒng)s=( U, A, V, f )中，根據(jù)定義1，若且IND(P-{a})=IND(P)，則表示在P中屬性a是不必要的，否則表示在P中a是必要的。若都是必要的，則表示P獨立，否則表示P是依賴的。

求取約簡屬性需要滿足以下條件：

設(shè)Q P，若Q是獨立的且IND(Q)=IND(P)，則表示Q是P的一個約簡，稱為RED(P)，在實際情況下，存在多個約簡，所有約簡的交集構(gòu)成的核，記作CORE(P)=RED(P)。

3 網(wǎng)絡(luò)安全態(tài)勢評估指標(biāo)的處理

3.1 指標(biāo)體系

在網(wǎng)絡(luò)安全態(tài)勢評估中，評價指標(biāo)體系的擇取是評價研究的關(guān)鍵，它會直接影響整個評價結(jié)果的精度；評價指標(biāo)體系應(yīng)盡可能地反映網(wǎng)絡(luò)安全態(tài)勢的基本特征及基本狀況。本文將網(wǎng)絡(luò)安全態(tài)勢指標(biāo)劃分為4個獨立的一級指標(biāo)：脆弱性、容災(zāi)性、威脅性和穩(wěn)定性。每個一級指標(biāo)又包含若干個二級指標(biāo)，具體如下：

1）與脆弱性有關(guān)的二級指標(biāo)。有漏洞數(shù)目、安全設(shè)備數(shù)目、網(wǎng)絡(luò)拓?fù)洹㈥P(guān)鍵設(shè)備的服務(wù)種類及開放端口數(shù)目等；

2）與容災(zāi)性有關(guān)的二級指標(biāo)。有帶寬、安全設(shè)備數(shù)目、子網(wǎng)內(nèi)只要服務(wù)器支持的并發(fā)線程數(shù)、關(guān)鍵設(shè)備訪問主流安全網(wǎng)絡(luò)的頻率等；

3）與威脅性有關(guān)的二級指標(biāo)。有報警數(shù)目、帶寬使用率、安全事件歷史發(fā)生率、數(shù)據(jù)流入量、IP分布等；

4）與穩(wěn)定性有關(guān)的二級指標(biāo)。有關(guān)鍵設(shè)備平均存活時間、子網(wǎng)流量變化率、子網(wǎng)平均無故障時間、子網(wǎng)內(nèi)存活關(guān)鍵設(shè)備數(shù)目等。

3.2 態(tài)勢因子的篩選

在實際的大規(guī)模網(wǎng)絡(luò)環(huán)境下，由于網(wǎng)絡(luò)的巨型性、復(fù)雜性，在網(wǎng)絡(luò)安全態(tài)勢感知過程中，存在著眾多的相互沖突、不完備、非確定的復(fù)雜觀測指標(biāo)，有些指標(biāo)對態(tài)勢感知起著關(guān)鍵性的作用，有些指標(biāo)對態(tài)勢感知的影響卻十分微弱，指標(biāo)之間也可能存在冗余。因此，態(tài)勢指標(biāo)的篩選直接影響到態(tài)勢感知的效果和效率。

如何既能保持網(wǎng)絡(luò)安全態(tài)勢評估指標(biāo)的全面性與代表性，又能保證指標(biāo)體系的精簡，成為構(gòu)建評估指標(biāo)體系的關(guān)鍵問題。粗糙集理論是一種數(shù)據(jù)分析理論，能夠有效地利用屬性重要度量對網(wǎng)絡(luò)安全態(tài)勢因子進(jìn)行遴選[12]。

利用粗糙集理論中重要性定義，根據(jù)定義4和定義6計算出態(tài)勢因子對網(wǎng)絡(luò)安全態(tài)勢的重要性：

把態(tài)勢因子作為決策信息表的條件屬性，刪除冗余和不重要的指標(biāo)，從而優(yōu)化網(wǎng)絡(luò)安全態(tài)勢評估指標(biāo)。

4 基于粗糙集神經(jīng)網(wǎng)絡(luò)的評估模型

4.1 數(shù)據(jù)的預(yù)處理

有限離散化數(shù)據(jù)是粗糙集分析的基礎(chǔ)，而在工程領(lǐng)域中原始數(shù)據(jù)包含了大量的連續(xù)數(shù)據(jù)。因此，在利用粗糙集約簡之前，必須先對數(shù)據(jù)進(jìn)行離散歸一化處理，其目的是為了盡可能減少海量數(shù)據(jù)中有用信息的丟失，同時降低系統(tǒng)空間維數(shù)，減少指標(biāo)的種類。目前主要采用的離散方法有等區(qū)間劃分法、S法、L法、等頻率劃分發(fā)等，但不管是哪種離散方法，都必須保證離散后數(shù)據(jù)的維數(shù)盡可能少、每個屬性盡可能少地?fù)碛袑傩灾档姆N類和盡量減少數(shù)據(jù)信息的丟失。本文采用了ROSETTA[13]中的Boolean Reasoning算法和Equal Frequency Binning 算法進(jìn)行離散化。

4.2 規(guī)則提取

在整個知識表達(dá)系統(tǒng)中，并非所有屬性是同等重要的，有大量的屬性可能存在冗余，因此進(jìn)行屬性的約簡至關(guān)重要。然而條件屬性C的最小約簡屬性并非只有一個，可能存在多個屬性集，而要求取最小屬性集已證明是一個NP問題；在實際的工程領(lǐng)域中，只需要求解出具有實際用途的最小約簡屬性集即可；規(guī)則過多或過少直接影響到神經(jīng)網(wǎng)絡(luò)評估結(jié)果的精確性。

本文選取文獻(xiàn)[13]中基于粗糙集理論框架的表格邏輯數(shù)據(jù)分析工具包ROSETTA來得到最簡規(guī)則，其決策規(guī)則提取步驟如下：

1）數(shù)據(jù)補齊。由于入侵監(jiān)測數(shù)據(jù)中可能存在大量的不完整或損壞的數(shù)據(jù)，需要進(jìn)行不完整數(shù)據(jù)的移除。通過利用ROSETTA自身的移除不完整數(shù)據(jù)功能模塊對數(shù)據(jù)進(jìn)行整理。

2）數(shù)據(jù)的離散化。由于粗糙集理論存在只能處理離散化數(shù)據(jù)的局限性，而實際大網(wǎng)絡(luò)環(huán)境下的監(jiān)測數(shù)據(jù)大多屬于數(shù)值型數(shù)據(jù)，因此需要使用ROSETTA中的Boolean Reasoning 算法和Equal Frequency Binning 算法合理充分地對監(jiān)測數(shù)據(jù)進(jìn)行離散化處理。

3）屬性約簡。在原始數(shù)據(jù)中可能存在著大量的冗余屬性，它們對評估結(jié)果起著微乎其微的作用。通過ROSETTA中遺傳算法對條件屬性進(jìn)行約簡，以剔除不必要的屬性，減少數(shù)據(jù)的采集。

4）規(guī)則生成。在步驟3）的基礎(chǔ)上，利用等價關(guān)系形成規(guī)則。但由于約簡結(jié)果不是唯一的，產(chǎn)生的規(guī)則也是多個屬性對應(yīng)的簡化規(guī)則。

5）規(guī)則約簡。對約簡決策表所得到的簡化規(guī)則中每一條條件屬性不一定都是必要的，因此需要屬性約簡來簡化規(guī)則中不必要的條件屬性值，從而得到最簡規(guī)則集。

4.3 評估模型

基于粗糙集神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評估方法的主要思想是：第一，對收集的入侵檢測數(shù)據(jù)進(jìn)行預(yù)處理，獲取有用的數(shù)據(jù)集，從而得到原始信息決策表。第二，對原始數(shù)據(jù)集進(jìn)行離散化處理和歸一化處理，并將原始數(shù)據(jù)分為2組，一組為訓(xùn)練樣本數(shù)據(jù)，另一組為測試樣本數(shù)據(jù)。第三，利用粗糙集理論的屬性約簡能力得到擁有完備原始樣本特征的最小決策規(guī)則集，從而利用最簡指標(biāo)規(guī)則來確定神經(jīng)網(wǎng)絡(luò)的規(guī)則層數(shù)。第四，通過訓(xùn)練數(shù)據(jù)對粗糙集神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練，獲得最小規(guī)則集對應(yīng)的各項評估指標(biāo)數(shù)，優(yōu)化評估系統(tǒng)的輸入結(jié)點數(shù)；最后，確定評估模型的網(wǎng)絡(luò)結(jié)構(gòu)、相關(guān)隸屬度函數(shù)以及輸入輸出推理規(guī)則，并將測試樣本數(shù)據(jù)輸入評估系統(tǒng)，經(jīng)過粗糙集和專業(yè)知識組成的規(guī)則推理確定當(dāng)前網(wǎng)絡(luò)安全運行狀況。

粗糙集神經(jīng)網(wǎng)絡(luò)評估模型可以理解成基于神經(jīng)網(wǎng)絡(luò)的粗糙集推理系統(tǒng)。本文采用粗糙集模糊神經(jīng)網(wǎng)絡(luò)設(shè)計[14-16]，根據(jù)4.2節(jié)中提取的最簡指標(biāo)規(guī)則確定的神經(jīng)網(wǎng)絡(luò)來確定人工神經(jīng)網(wǎng)絡(luò)的隱含層層數(shù)和隱含層節(jié)點數(shù)目。設(shè)粗糙集神經(jīng)網(wǎng)絡(luò)的各神經(jīng)元的連接權(quán)值、輸入和輸出分別表示為：，其中i為層標(biāo)，j為層參數(shù)。其模型如圖1。

圖1 粗糙集神經(jīng)網(wǎng)絡(luò)評估模型Fig. 1 The rough set neural network evaluation model

第1層是輸入層（或稱為指標(biāo)層），表示為網(wǎng)絡(luò)安全態(tài)勢評估系統(tǒng)的輸入變量X={x1, x2, …, xi}T，xi(i=1, 2, …, n) ，即干擾網(wǎng)絡(luò)安全性能的指標(biāo)；結(jié)點個數(shù)是決策信息表中核屬性的個數(shù)；該層神經(jīng)元的連接權(quán)值為，其

第2層是離散化層，分別將n個輸入量x1, x2, …, xn依照粗糙集理論的某種不可分辨關(guān)系進(jìn)行等區(qū)間劃分，將輸入數(shù)據(jù)xi離散為ri個取值為[0, 1]的不同值，該結(jié)點數(shù)為離散屬性值的個數(shù)。本文把高斯函數(shù)作為隸屬度函數(shù)，該結(jié)點的連接權(quán)值，輸入為輸出為：

式中：cij，分別是變量xj離散化到ri(j=1, 2, …, ri)檔的平均值和方差；

cij,分別為隸屬度函數(shù)的中心和帶寬；

1≤i≤N，1≤j≤J。

第3層是規(guī)則前件層，規(guī)則層依照粗糙集理論的規(guī)則約簡能力進(jìn)行規(guī)則提取，規(guī)則層神經(jīng)元與第2, 4層神經(jīng)元相連接，該神經(jīng)元由前件和后件組成。該層是由第3層與第2層連接表示1條復(fù)雜的規(guī)則前件，每1個結(jié)點代表1條規(guī)則，且該層的結(jié)點數(shù)是最簡決策表中規(guī)則的個數(shù)，構(gòu)建一個不完全連接神經(jīng)元，其連接權(quán)值為1。該結(jié)點層輸出為規(guī)則適應(yīng)度Tk：

第4層是規(guī)則后件層，該層由第3層與第4層中若干個神經(jīng)元相連接。該規(guī)則層的結(jié)點數(shù)是最簡決策表中決策屬性的數(shù)目；由于最小決策指標(biāo)有若干個，單獨的決策指標(biāo)不能很好地反映當(dāng)前的網(wǎng)絡(luò)安全狀況，需要綜合考慮決策指標(biāo)。則歸一化處理后，每個神經(jīng)元的輸入、輸出為：

第5層是決策層，表示網(wǎng)絡(luò)安全態(tài)勢評估的綜合評估值，該神經(jīng)元的結(jié)點數(shù)為1，神經(jīng)元的輸入、輸出為：

4.4 參數(shù)的調(diào)整

本文利用BP算法[17]的空間搜索能力，逐步迭代，更新評估模型中第4～5層的連接權(quán)值，隸屬度函數(shù)的中心和帶寬，從而縮短學(xué)習(xí)訓(xùn)練時間。通過BP算法反復(fù)修正網(wǎng)絡(luò)權(quán)值，從而得到期望的評估結(jié)果。定義其誤差代價函數(shù)為：

式中：R代表學(xué)習(xí)樣本數(shù)；

Y代表系統(tǒng)期望輸出值；

y代表網(wǎng)絡(luò)實際輸出值。

則有

參數(shù)調(diào)整步驟如下：

1）網(wǎng)絡(luò)系數(shù)初始化。

2）輸入已知學(xué)習(xí)樣本，通過梯度下降BP算法迭代設(shè)計粗糙集神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)（包括各層神經(jīng)元的連接權(quán)值，隸屬度函數(shù)的中心cij和帶寬），從而計算各層的神經(jīng)元輸出。

3）調(diào)整各參數(shù)，并從最后一層反向計算各權(quán)值的總誤差影響，進(jìn)一步對網(wǎng)絡(luò)結(jié)構(gòu)各連接權(quán)值及參數(shù)進(jìn)行修改。

4）重復(fù)步驟2）～3），直到整個粗糙集神經(jīng)網(wǎng)絡(luò)收斂為止。其中第4，5層的連接權(quán)值為：

隸屬度函數(shù)的中心cij為:

以上各式中 ＞0，為學(xué)習(xí)率。

5 實驗分析

5.1 實驗數(shù)據(jù)

為了測驗本文所提出的基于粗糙集神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評估方法的合理性與正確性，筆者借用Matlab 7.0來進(jìn)行仿真實驗；以DARPA1999入侵檢測數(shù)據(jù)集為基礎(chǔ)，取監(jiān)控數(shù)據(jù)100個樣本作為實驗數(shù)據(jù)。首先對原始數(shù)據(jù)進(jìn)行歸一化處理，其歸一化公式為，處理之后得到[0,1]的值；然后把100個實驗數(shù)據(jù)分為90個訓(xùn)練樣本集和10個測試樣本集，進(jìn)行本次的網(wǎng)絡(luò)安全態(tài)勢評估實驗。

5.2 評估結(jié)果分析

由于考慮到文章篇幅問題，本文以威脅性指標(biāo)為例，運用文獻(xiàn)[6]提供的基于BP神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評估方法和本文基于粗糙集神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評估方法進(jìn)行對比研究，分析粗糙集神經(jīng)網(wǎng)絡(luò)方法的優(yōu)越性。

1）經(jīng)過粗糙集理論的分析，分別篩選出9條二級指標(biāo)：a表示報警數(shù)目；b表示帶寬使用率；c表示安全事件發(fā)生率；d表示關(guān)鍵設(shè)備的服務(wù)分布；e表示數(shù)據(jù)流入量；f表示流入量的增長率；g表示不同協(xié)議數(shù)據(jù)包的分布；h表示不同大小數(shù)據(jù)包的分布；j表示流入網(wǎng)絡(luò)數(shù)據(jù)包源IP分布。

設(shè)決策信息表中的條件屬性為態(tài)勢指標(biāo)；決策屬性分為：1表示高；2表示中；3表示低。經(jīng)過粗糙集理論的約簡和求核，得到表1所示最簡決策信息表。

表1 最簡決策信息表Table 1 The simplest decision information table

從而確定粗糙集神經(jīng)網(wǎng)絡(luò)的輸入點為9個，離散層結(jié)點為27個，規(guī)則前件結(jié)點為10個，規(guī)則后件結(jié)點為3個，輸出結(jié)點為1個，從而構(gòu)建好粗糙集神經(jīng)網(wǎng)絡(luò)評估模型。通過Matlab 7.0的仿真實驗，得到如表2所示測試樣本的實際輸出和期望輸出的比較結(jié)果。

表2 粗糙集神經(jīng)評估結(jié)果Table 2 Rough set neural assessment results

2）根據(jù)文獻(xiàn)[6]中提供的基于BP神經(jīng)網(wǎng)絡(luò)評估方法對本文提供的檢測數(shù)據(jù)進(jìn)行評估，該神經(jīng)網(wǎng)絡(luò)由9個輸入結(jié)點、4個隱層結(jié)點、1個輸出結(jié)點組成，其評估結(jié)果如表3所示。

表3 BP神經(jīng)網(wǎng)絡(luò)評估結(jié)果Table 3 BP neural network evaluation results

對比表2和表3所示實驗結(jié)果可知，基于粗糙集神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評估方法比BP神經(jīng)網(wǎng)絡(luò)方法更加明顯，而且采用粗糙集神經(jīng)網(wǎng)絡(luò)進(jìn)行評估，使得測試樣本的相對誤差＜2.50%，明顯比BP神經(jīng)網(wǎng)絡(luò)評估方法的相對誤差＜9.59%要小，其主要在于運用粗糙集理論對評估指標(biāo)和數(shù)據(jù)的冗余，高維處理，而且粗糙集神經(jīng)網(wǎng)絡(luò)的隱含層結(jié)點數(shù)客觀性高，從而大大減少了不利因素對評估的影響。

綜上所述：以粗糙集神經(jīng)網(wǎng)絡(luò)為基礎(chǔ)的網(wǎng)絡(luò)安全態(tài)勢評估模型與專家期望結(jié)果非常接近，完全可以適應(yīng)網(wǎng)絡(luò)安全態(tài)勢的綜合評估。

6 結(jié)語

本文構(gòu)建的基于粗糙集神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評估模型，綜合了粗糙集理論在處理不完備、不精確知識的能力和神經(jīng)網(wǎng)絡(luò)在數(shù)值上任意逼近的特點，既減少了冗余信息和噪音數(shù)據(jù)的不利影響、約簡了網(wǎng)絡(luò)安全態(tài)勢評估指標(biāo)、避免了因先驗知識不足而產(chǎn)生的誤差，又減少了粗糙集神經(jīng)元的輸入層結(jié)點數(shù)和隱含規(guī)則層結(jié)點數(shù)，從而優(yōu)化了粗糙集神經(jīng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，縮短了態(tài)勢評估的時間，同時也提高了模型的正確率。為今后的網(wǎng)絡(luò)安全態(tài)勢評估工作提供了一種可行的方法。

但粗糙集理論中約簡求核[18-19]是一個NP難題，能否求解出符合實際用途的最簡決策規(guī)則直接影響到評估精度，此問題還需要今后的進(jìn)一步研究。

[1]Bass T. Intrusion Detection Systems and Multisensor Data Fusion：Creating Cyberspace Situational Awareness[J]. Communications of the ACM，2000，43(4)：99-105.

[2]Digioia G，F(xiàn)oglietta C，Oliva G，et al. Aware Online Interdependency Modeling via Evidence Theory[J]. International Journal of Critical Infrastructures，2013，9 (1)：74-92.

[3]劉效武，王慧強，呂宏武，等. 基于融合的網(wǎng)絡(luò)安全量化感知[J]. 吉林大學(xué)學(xué)報：工學(xué)版，2013，43(6)：1650-1657. Liu Xiaowu，Wang Huiqiang，Yu Hongwu，et al. Quantitative Awareness of Network Security Situation Based on Fusion[J]. Journal of Jilin University：Engineering and Technology Edition，2013，43(6)：1650-1657

[4]Huang C C，Tseng T L B，F(xiàn)an Y N，et al. Alternative Rule Induction Methods Based on Incremental Object Using Rough Set Theory[J]. Applied Soft Computing，2013，13 (1)：372-389.

[5]Jan G B，Bazan-Socha S，Buregwa-Czuma S，et al. Classifiers Based on Data Sets and Domain Knowledge：A Rough Set Approach[J]. Intelligent Systems Reference Library，2013，43(2)：93-136.

[6]謝麗霞，王亞超，于巾博. 基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢感知[J]. 清華大學(xué)學(xué)報：自然科學(xué)版，2013，53(12)，1750-1760. Xie Lixia，Wang Yachao，Yu Jinbo. Network Security Situation Awareness Based on Neural Networks[J]. Journal of Tsinghua University：Natural Science Edition，2013，53(12)：1750-1760.

[7]王 宏，龔正虎. 一種基于信息熵的關(guān)鍵流量矩陣發(fā)現(xiàn)算法[J]. 軟件學(xué)報，2009，20(5)：1377-1383. Wang Hong，Gong Zhenghu. Algorithm Based on Entropy for Finding Critical Traffic Matrices[J]. Journal of Software，2009，20(5)：1377-1383.

[8]卓 瑩，龔春葉，龔正虎. 網(wǎng)絡(luò)傳輸態(tài)勢感知的研究與實現(xiàn)[J]. 通信學(xué)報，2010，31(9)：54-63. Zhuo Ying，Gong Chunye，Gong Zhenghu. Research and Implementation of Network Transmission Situation Awareness[J]. Journal on Communications，2010，31(9)：54-63.

[9]王 剛，張志禹. 粗糙集結(jié)合BP神經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)融合方法研究[J]. 西安理工大學(xué)學(xué)報，2006，22(3)，311-314. Wang Gang，Zhang Zhiyu. Rough Set Method Combined with BP Neural Network Data Fusion[J]. Journal of Xi’an University of Technology，2006，22(3)，311-314.

[10]蓋偉麟，辛 丹，王 璐，等. 態(tài)勢感知中的數(shù)據(jù)融合和決策方法綜述[J]. 計算機工程，2014，40(5)，21-26. Gai Weilin，Xin Dan，Wang Lu，et al. Data Fusion and Decision Methods of Situation Awareness[J]. Computer Engineering，2014，40(5)，21-26.

[11]Pawlak Z. Rough Sets and Intelligent Data Analysis[J]. Information Sciences，2002，147(1)：1-12.

[12]卓 瑩，何 明，龔正虎. 網(wǎng)絡(luò)態(tài)勢評估的粗糙集分析模型[J]. 計算機工程與科學(xué)，2012，34(3)，1-5. Zhuo Ying，He Ming，Gong Zhenghu. The Rough Set Model of Network Situation Assessment[J]. Computer Engineering and Science，2012，34(3)，1-5.

[13]Kaufmann K W，Lemmon G H，De Luca S L，et al. Practically Userful：What the ROSETTA Protein Modeling Suite Can Do for You[J]. Biochemistry，2010，49(14)：2987-2998.

[14]鞏 徽，馮 欣. 一種粗集模糊神經(jīng)網(wǎng)絡(luò)模型的研究及應(yīng)用[J]. 計算機工程與科學(xué)，2010，32(6)：132-134. Gong Hui，F(xiàn)eng Xin. Research and Application of a Kind of Rough Fuzzy Neural Network Model[J]. Computer Engineering and Science，2010，32(6)：132-134.

[15]李千目，戚 湧，張 宏，等. 基于粗糙集神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)故障診斷新方法[J]. 計算機研究與發(fā)展，2004，41 (10)，1696-1702. Li Qianmu，Qi Yong，Zhang Hong，et al. A New Network Fault Diagnosis Method Based on RS-Neural Network[J]. Journal of Computer Research and Development，2004，41(10)，1696-1702.

[16]郝麗娜，王 偉，吳光宇，等. 粗糙集-神經(jīng)網(wǎng)絡(luò)故障診斷方法研究[J]. 東北大學(xué)學(xué)報：自然科學(xué)版，2003，24 (3)：252-255. Hao Li’na，Wang Wei，Wu Guangyu，et al. Research on Rough Set-Neural Network Fault Diagnosis Method[J]. Journal of North Eastern University：Natural Science，2003，24(3)：252-255.

[18]徐 權(quán)，倪世宏，張 鵬. 基于粗糙集的專家系統(tǒng)知識庫約簡研究[J]. 計算機測量與控制，2012，20(5)：1333-1335. Xu Quan，Ni Shihong，Zhang Peng. A Research on Knowledge Base Reduction of Expert System Based on Rough Set[J]. Computer Measurement & Control，2012，20(5)：1333-1335.

[19]王 楊，閆德勤，張鳳梅. 基于粗糙集和決策樹的增量式規(guī)則約簡算法[J]. 計算機工程與應(yīng)用，2007，43(1)：170-172. Wang Yang，Yan Deqin，Zhang Fengmei. Rough Set and Decision Tree Based Incremental Rule Reduction Algorithm [J]. Computer Engineering and Application，2007，43(1)：170-172.

[17]周開利，康耀紅. 神經(jīng)網(wǎng)絡(luò)模型及其MATLAB仿真程序設(shè)計[M]. 北京：清華大學(xué)出版社，2005：1-254. Zhou Kaili，Kang Yaohong. Neural Network Model and MATLAB Simulation Programming[M]. Beijing：Tsinghua University Press，2005：1-254.

（責(zé)任編輯：申 劍）

Network Security Situation Evaluation Based on Rough Set and Neural Network

Jiang Xuwei，Wen Zhicheng，Deng Yongjie
（School of Computer and Communication，Hunan University of Technology，Zhuzhou Hunan 412007，China）

In order to overcome the complex influences of uncertain factors of information high dimension, redundancy and noise etc. in the multi-source data fusion on the network security situation evaluation, presents a network security situation assessment method based on rough set and neural network. This method uses rough set theory capabilities in machine learning, redundant information processing and feature extraction and combines with the neural network ability of dealing with noise and arbitrary approximation to construct the situation assessing model composed of index layer, discrete layer, rule layer and decision layer, and compares and studies it with BP neural network method. The simulation experiment shows that the method has less deviation and can analyze network security situation more objectively and accurately.

rough set theory；rough set and neural network；situation assessment

TP393

A

1673-9833(2015)03-0076-07

10.3969/j.issn.1673-9833.2015.03.015

2015-03-19

姜旭煒（1988-），男，湖南武岡人，湖南工業(yè)大學(xué)碩士生，主要研究方向為網(wǎng)絡(luò)安全態(tài)勢感知，E-mail：402342284@qq.com

文志誠（1972-），男，湖南東安人，湖南工業(yè)大學(xué)副教授，博士，主要從事軟件工程與網(wǎng)絡(luò)安全方面的教學(xué)與研究，E-mail：zcwen@mail.shu.edu.cn