基于區間決策圖的威脅處置策略快速匹配

張玲翠，李鳳華，房梁，郭云川，李子孚

（1.中國科學院信息工程研究所，北京 100195；2.中國科學院大學網絡空間安全學院，北京 100049）

1 引言

隨著互聯網、移動互聯網、物聯網等復雜網絡的大規模應用，安全威脅的發生日趨頻繁，產生的后果日益嚴重。國家互聯網應急中心發布的《2020 年上半年我國互聯網網絡安全監測數據分析報告》顯示，2020 年上半年，捕獲計算機惡意程序樣本數量約1 815 萬個，日均傳播次數達483 萬余次，涉及計算機惡意程序家族約1.1 萬余個，我國境內感染計算機惡意程序的主機數量約304 萬臺，境內工業控制系統的網絡資產持續遭受來自境外的掃描嗅探，日均超過2 萬次。

面對如此嚴重的安全威脅，學術界和工業界提出了涵蓋潛在風險點識別、威脅風險評估、威脅處置策略生成與匹配、處置效果評估等在內的一整套威脅閉環響應解決方案。從靜態動態的角度來看，當前威脅處置策略匹配包括2 類：靜態匹配和動態匹配[1]。靜態匹配指為每類報警預先分配固定的威脅處置策略或措施，當報警發生時，查找與之相匹配的策略或措施。雖然靜態匹配簡單直接，但依賴于專家知識，不具備動態性和適應性。為此研究者提出了動態匹配，該方式不僅考慮報警類型，而且響應措施依賴于系統狀態和當前環境等因素，從而提升了動態性和靈活程度。在這2 種匹配中均可引入攻擊損失和響應代價，以提升威脅處置效益。

現有靜動態匹配方案要求當前威脅報警中的要素與響應策略庫或措施庫精確匹配，只有精確匹配時才能選擇出響應策略或措施。雖然成本敏感匹配模式中的效果和成本屬于模糊匹配，但在其他要素中屬于精確匹配。然而在實踐中精準快速地匹配策略庫或措施庫是非常困難的，其原因如下。

1) 威脅響應決策條件的模糊性。在響應策略庫中，需要定義當何種威脅發生時采取何種措施，然而威脅復雜性導致很難準確地選擇響應措施。如威脅響應策略中規定“在給定時間段內某網段的某類報警達到10 次，則應該阻斷該網段的A 類流量”。若攻擊者觸發9 次報警之后停止攻擊，則該攻擊者行為不會被阻斷。在實踐中，若攻擊者觸發9 次報警，則應以極大的可能性阻斷該類行為，這種威脅響應決策條件的模糊性導致難以有效地選取威脅處置措施。

2) 策略庫或措施庫規模大。復雜網絡等環境中存在大量設備、海量數據、各種類型的威脅，相應地，策略庫或措施庫規模將非常龐大。例如，骨干網交換、大型數據中心、云存儲服務、大規模社交網絡后臺等網絡邊界的防火墻、安全網關/設備策略中，響應規則可達10 萬條。龐大的策略庫或措施庫將消耗過多的策略匹配時間。

針對上述問題，本文提出了帶模糊算子的區間決策圖構造算法，設計了面向威脅處置的策略動態匹配算法，具體貢獻如下。

1) 對威脅處置策略進行歸一化描述，形成威脅處置策略。其中，威脅處置策略模板包括策略匹配條件、策略動作、策略有效性等；策略匹配動作包括處置命令類型、處置命令、處置區域、約束信息等，可為策略動態匹配提供基礎。

2) 將威脅類型、嚴重程度、置信度、攻擊頻度、傳播方式等策略匹配條件進行排序，提出了面向單策略的帶模糊算子的區間決策圖構造算法；針對威脅處置策略庫中存在大量處置策略的現狀，設計了模糊區間決策圖合并算法；為了快速地選取策略，設計了基于模糊區間決策圖的策略動態匹配算法。由于采用基于模糊區間決策圖的策略動態匹配算法，因此能有效減少因缺乏精準威脅處置策略導致的不準確性的情況。

3) 采用鄰接鏈表存儲模糊區間決策圖實現了基于區間決策圖的威脅處置策略動態匹配。在實驗中生成350 組不同策略庫規模的決策圖。實驗表明，所生成的決策圖的頂點數和邊數遠小于原始策略數，從而大幅降低了匹配次數，提升了匹配效率。

2 相關工作

根據給定的安全事件，如何選擇有效的威脅響應策略來緩解事件是一個亟待解決的問題[2]。近年來，對威脅策略匹配研究集中在2 個方面：靜態匹配[3-5]和動態匹配[6-18]。其中，靜態匹配旨在根據安全事件特征自動化搜索策略，自動化程度和高效性是該類方法的研究重點；動態匹配會根據安全事件上下文動態選擇給定情況下的最優策略，如何找到最優策略是該類方法的研究重點。下面，本文將詳細介紹威脅策略匹配的現有研究。

靜態匹配方面，Somayaji 等[3]實現了對系統調用級別的安全事件特征的自動化響應策略匹配。Toth 等[4]通過評估策略可能對網絡和服務產生的負面影響來自動化選擇響應措施。在自動化匹配的基礎上，Marouf 等[5]提出了一種基于聚類的策略重排序算法，采用該算法可實現高效的策略靜態匹配。但靜態匹配方法并未考慮不同運行環境下，相同的安全事件的嚴重程度差異，難以靈活地響應安全事件。因此，動態策略匹配方法被提出。

動態匹配方法包括基于多因素的匹配[6-12]和基于博弈的匹配[13-18]。其中，基于多因素的匹配方面，Shameli-Sendi 等[6]提出了一種考慮安全事件上下文的動態威脅響應策略匹配方法，該方法根據系統的服務依賴圖和攻防樹，計算并權衡了系統的安全收益、用戶和服務的安全影響、安全部署成本，實現了隨攻擊環境改變的威脅動態響應。Guo 等[7]提出了一種細粒度的策略匹配方法，通過考慮攻擊損害、部署成本、對服務質量的負面影響和安全效益，采用三維遺傳算法，動態選擇威脅響應策略，此外，該方法還考慮了策略匹配的時序。Li 等[8]研究了多步攻擊的策略匹配方法，該方法將該問題建模為全局優化問題，并評估安全效益、部署成本以及對服務質量的負面影響等指標，最后采用貪心算法實現了最優策略匹配。但是上述方法只考慮了效用，并未考慮攻擊者與防御者的交互行為。

為量化攻防雙方行為對匹配結果的影響，基于博弈的策略匹配方法被研究。其中，Luo 等[13]研究了多級攻擊策略的匹配方法，該方法將攻擊者與管理員之間的交互建模為非合作零和多階段博弈，其中攻擊者為領導者，管理員為追隨者，通過將兩者的交替操作建模為博弈樹，實現考慮攻擊上下文的策略匹配。Zonouz 等[14]采用了斯坦伯格隨機博弈模型實現了策略的推理和匹配，該方法考慮到實際環境中統計指標可能存在的不準確性，提出了基于模糊邏輯計算威脅的各指標值，并根據預先定義的模糊規則集推理可能的行為，最后根據推理結果選擇針對當前和未來的行為的最優威脅響應策略。

3 威脅處置策略歸一化描述

威脅處置策略模板是對威脅處置策略的模式進行歸一化描述，威脅處置策略模板包括策略模板ID、策略匹配條件、策略匹配動作、策略有效性，如圖1 所示。威脅處置策略匹配條件是指觸發/選擇威脅處置策略執行的前提條件（即威脅特征）。策略匹配動作是指滿足威脅處置策略匹配條件時所觸發的需要執行威脅處置操作。策略有效性是針對某威脅，預先評估的策略處置效果。

圖1 威脅處置策略模板構成示意

威脅處置策略模板庫是所有威脅處置策略模板的集合。接收到報警信息后，可根據報警信息和受威脅對象的安全保障目標，從處置策略模板庫中按需選取目標處置策略模板；依據報警信息等，生成威脅處置策略，為多級、多域、多類、多臺對象的差異化聯動響應和威脅處置的統一管理提供基礎，提高了處置效率和處置效果。

3.1 策略匹配條件

在威脅處置策略匹配時，需要匹配威脅告警中的威脅特征與策略模板庫中的威脅特征。威脅特征是對威脅的描述，包括威脅類型、嚴重程度、置信度、攻擊頻度、傳播方式等。其中，威脅類型THREAT_TYPE 表示預定義的威脅事件類型，如THREAT_TYPE={DDoS,Unauthorized Access,Traffic Anomaly,FTP Trojan,…,SQL Injection}，其中，DDoS、Unauthorized Access、Traffic Anomaly、FTP Trojan、SQL Injection 分別表示分布式拒絕服務攻擊、非法訪問、流量異常、FTP 木馬、SQL 注入攻擊等。嚴重程度表示威脅造成危害的程度，可用severity={s|1≤s≤10,s∈N+}表示，其數值越大表示嚴重程度越高。置信度表示威脅報警的可信程度，可用confidence={c|1≤c≤10,c∈N+}表示，其數值越大，表示可信度越高。攻擊頻度表示每分鐘上報的原始安全事件個數，attackFreq={af |1 ≤ af ≤10000,af∈N+}，其數值越大，表示攻擊頻率越高。傳播方式包括攻擊實體利用的惡意軟件、利用的攻擊工具、經由的網絡類型等。

安全保障效果指該條處置策略模板實例化為處置策略并被執行后，可以滿足的安全保障目標，一個處置策略模板可以實現多種安全保障效果。需注意的是，這里的安全保障效果并非百分之百滿足，可以是一定程度上滿足。

3.2 策略匹配動作

策略匹配動作包括處置命令類型、處置命令、處置區域、約束信息。

處置命令類型包括命令集、命令、指令和動作等。其中，命令集中包含了多種類型的命令，命令包含了多種類型的指令，指令包含了多種類型的動作。處置命令根據處置命令類型的不同而不同。

處置區域為執行處置策略的對象所在范圍或空間的限定，能以邏輯方式標注，也能以物理方式標注。例如，以特定IP 段地址標識、以唯一編號標識或以經緯度標識。

約束信息為將處置策略模板具體化成某一處置策略后對該處置策略的約束條件，包括生成時間、分發時間、執行時間、有效期、持續時間、安全等級和知悉范圍等。

3.3 策略有效性

有效性為處置策略應對相應特征威脅時，達到安全保障效果的程度，可以用[0,10]的離散整數值表示，也可以用百分比、小數表示，還可以通過采用該條處置策略應對威脅時成功的比例表示。

4 威脅處置策略模糊區間決策圖

4.1 威脅處置策略的模糊區間決策圖表示

采用如下形式的多元函數表示威脅處置策略

其中，Di可以表示威脅類型、嚴重程度、置信度、攻擊頻度、傳播方式等帶隸屬度的策略條件，威脅類型、傳播方式為離散型變量，嚴重程度、置信度、攻擊頻度為連續型變量；POLICIES 表示所有威脅處置策略的集合。為了便于描述，用X表示D1×D2× …×Dn，故式(1)可描述為f(X) →POLICIES 。

威脅處置策略的選擇變量可用數據區間及其隸屬函數表示，對于連續型變量，數據區間是定義域內由起始值和終止值構成的一段范圍，可以為開區間、閉區間或半開半閉區間，例如，嚴重程度數據區間可以是[1,5]或(5,8]；對于離散型變量，數據區間是定義域內一個或多個值組成的集合，例如，威脅類型的數據區間可以是{DDoS,非授權訪問}，數據區間形式化表示為I?Di，該數據區間是隸屬度值大于0 的區域。隸屬函數表示在數據區間及其邊界的隸屬度分布，記為隸屬度表示該威脅下選擇某策略的可能性，例如，嚴重程度在區間[1,5]時，選擇威脅處置策略1、策略2、策略3的可能性分別為0.3、0.4、0.6。

區間劃分為定義域內互不相交的區間集合，形式 化 表 示 為P={I|I?Di，?Ii,Ij∈P,i≠j,Ii∩Ij=?}。例如，severity?{[1,5],(5,8]}，嚴重程度變量包括2 個互不相交的區間。

給定一個區間劃分P，變量xi∈P代表?I∈P,s.t.xi∈I。定義布爾函數為

當xi∈P時，式(1)與xi獨立，即對于區間劃分P中的任何xi，會得到相同的威脅處置策略，如式(3)所示。

因此，偏函數表示為

例如，函數f關于變量 severity 在區間P={[ 1,8]}獨立。

因此，偏函數可表示為

給定一個域Di，如果區間集合P(Di)={P1,P2,…,Pdi}滿足則稱域Di被區間集合覆蓋；如果區間集合P(Di)中沒有共同區間，則說明其不相交，即?i,j∈[1,di],i≠j,Pi∩Pj=?。

根據香農分解，函數f可被分解為對于任意變量xi在不相交覆蓋的區間集合P(Di)上的偏函數。

因此，可以將函數f形式化為具有如下性質的決策圖，如圖2 所示。

圖2 威脅處置策略的模糊區間決策圖

1) 圖G是一個有根、有向無環圖，其頂點集包括2 類節點：內部節點和葉子節點。內部節點表示威脅處置策略匹配條件，葉子節點表示策略匹配動作（用策略ID 標識）。

4.2 帶模糊算子的區間決策圖構造

威脅處置策略模糊區間決策圖（FIDD,fuzzy interval decision diagram）定義如下。

1) FIDD中的節點m用四元組(index,val,pval,C)表示，其中，index 表示節點的序號；val 表示該節點的威脅特征值，當節點為決策圖的內部節點時，威脅特征值可以是威脅類型、嚴重程度、置信度、攻擊頻度等，具體取值為該節點連接其下級節點邊的區間劃分的集合即當節點為葉子節點時，val 為空；pval 表示該節點所能選擇策略的ID 集合；C表示四元組(c,p,μ,λ)的集合，c表示節點m的下級節點，μ表示隸屬度函數，λ表示隸屬度閾值，p表示節點m到其下級節點c的隸屬度函數大于0的區間劃分，用于從模糊區間中確定清晰集。

2) FIDD 中的邊用(p,μ,λ)表示。從根節點開始，如果節點xi的隸屬度大于閾值λ，則選擇(p,μ,λ)這條邊。

威脅處置策略構造算法。從策略匹配條件和策略匹配動作等策略元素生成一條策略的決策圖的算法，如算法1 所示，算法的核心思想是將威脅類型、嚴重程度、置信度、攻擊頻度、傳播方式等策略匹配條件按照節點序號由小到大排序，作為FIDD 的內部節點，將策略匹配動作作為FIDD 的葉子節點，整體存儲為單鏈表結構。

算法 1威脅處置策略模糊區間決策圖policyBuild (e1,e2,…,ek,ac)

威脅處置策略合并算法如算法2 所示，其核心思想是采用深度優先搜索思想，對已有的和待合并的2 個威脅處置策略決策圖進行遞歸合并，得到新的威脅處置策略決策圖，在節點兩兩合并過程中，分以下3 種情況處理。

算法2威脅處置策略合并算法policy Merge(m1,m2)

輸入2個決策圖根節點m1和m2

輸出m1∨m2

1) 均為葉子節點（步驟11)～步驟16)）。合并2 個葉子節點（即表示威脅處置策略動作的節點）代表的策略集合作為最終的葉子節點。

2) 均為內部節點且節點序號相等（步驟17)～步驟37)）∧*模糊算子（4.3 節具體介紹）的計算結果進行區間合并和遞歸計算。此種情況是2 個節點所選擇的策略集合不同，則根據+*算子對2 個節點的隸屬度函數、隸屬度閾值進行記錄和遞歸運算。

3) 均為內部節點且節點序號不等（步驟38)～步驟48)）。將序號低的節點的下級節點與序號高的節點進行遞歸調用運算。

為降低算法復雜度，引入計算表存儲結構，確保任一節點對至多一次計算（步驟1)～步驟3)、步驟51)）。為避免重復生成的頂點不被多次添加到決策圖中，在合并過程中同步應用化簡規則進行化簡（步驟49)～步驟52)）。

如算法3 所示，通過依次調用威脅處置策略構造算法（算法1）和威脅處置策略合并算法（算法2），以漸進式方式生成全局的威脅處置策略決策圖。

算法3威脅處置策略的模糊區間決策圖生成算法FIDDGeneration(E)

輸入策略集合E,E={E1,E2,…,En},E={e1,e2,…,ek,ac}

輸出多類型區間決策圖t=m1∨m2∨ …∨mk

圖3 為威脅處置策略模板庫中待合并的2 個策略，P1決策圖表示威脅類型為DDoS 攻擊、嚴重程度為[1,5]、置信度為[1,5]、攻擊頻率為[1,1 000]的情況下選擇策略1，決策圖中的邊還記錄了對應的策略匹配條件的隸屬度函數，P2的決策圖同理。P1和P2通過遞歸調用策略合并算法，逐節點自底向上進行合并，生成的模糊區間決策圖如圖4 所示，其中，威脅類型和嚴重程度節點在2 個策略中的區間值相同，所以各自合并為一個節點；置信度節點在進行合并時，首先對[1,5]和[3,10]進行無覆蓋的區間劃分，劃分的結果為3 個區間{[1,3],[3,5],[5,10]}，然后在每個區間下，依然遞歸調用策略合并函數，對攻擊頻率節點進行區間劃分，在區間劃分后應用模糊算子對該區間下的隸屬度函數進行合并，最終得到如圖4 所示的決策圖，葉子節點的策略匹配動作包括僅執行策略1、僅執行策略2、執行策略1 和策略2 這3 種情況。

圖3 合并前的威脅處置策略P1 和P2

圖4 合并后的威脅處置策略

4.3 面向威脅處置的模糊算子設計

4.2 節給出了帶模糊算子的區間決策圖構造，本節將討論如何設置適用于威脅處置的模糊算子。

威脅處置策略決策圖中的邊代表模糊區間或模糊集合，如圖5 和圖6 所示。圖5 中表示在攻擊頻率區間[0,100]選擇策略1進行威脅處置的隸屬度為1，在區間(100,105]中隨著攻擊頻度增加，選擇策略1 的隸屬度減少，呈直角梯形分布。類似地，圖6 給出了選擇策略2 的隸屬度。

當合并2 個決策圖中時，需要處理合并后所選取策略的隸屬度，如果這2 個決策圖最終選擇的策略相同，則采用MAX 算子，記為 ∧*算子，即當模糊區間存在交疊時將該區間的最大隸屬度作為最終隸屬度，即 ∧*(a,b)=max(a,b)。采用該隸屬函數原因是將最可靠的策略作為最終處置策略。圖7 給出了圖5 和圖6 所代表的模糊分布在選擇相同策略時，經過 ∧*算子運算后，得到模糊區間的模糊分布。

圖5 攻擊頻率模糊區間P1 的模糊分布

圖6 攻擊頻率模糊區間P2 的模糊分布

圖7 攻擊頻率模糊區間合并后的模糊分布P1∧*P2

如果這2 個決策圖最終選擇的策略不同，采用MERGE 算子，記為 +*算子，即當模糊區間存在交疊時將該區間的多個隸屬度函數分段記錄，即+*（a,b)=∪(a,b)。采用該隸屬度函數的原因是可同時選擇出多條策略。圖8 給出了圖5 和圖6 所代表的模糊分布在選擇不同策略時，經過 +*算子運算后，得到的模糊區間的模糊分布，灰色粗實線表示相交區間的模糊分布。

圖8 攻擊頻率模糊區間合并后的模糊分布P1+*P2

4.4 基于模糊區間決策圖的策略動態匹配

在收到新報警后，將報警中的威脅類型、嚴重程度、置信度、攻擊頻度、傳播方式等威脅特征，在威脅處置策略模糊區間決策圖中自頂向下進行匹配，具體地，如算法4 所示，將報警中的各威脅特征從模糊區間決策圖的根節點開始，在具有相同序號的節點處進行匹配（步驟4)），若報警中威脅特征的隸屬度值大于模糊區間決策圖中的閾值，則選擇該下層節點繼續匹配（步驟6)～步驟7)），直到匹配至葉子節點，得到策略動作（步驟1)～步驟3)）。需要注意的是，在上述過程中，一條報警信息在匹配到模糊區間決策圖的葉子節點時，由于區間的模糊性，可得到多個策略動作，此時需要根據匹配路徑中選擇出的各策略的隸屬度閾值進行綜合排序，得到最終的策略執行順序。例如，依照策略的隸屬度大小，首先執行隸屬度最大的威脅處置策略，若該威脅處置策略的效果低于預定值，再選取隸屬度次之的威脅處置策略；重復執行，直到達到預定的威脅處置效果或所選的威脅處置策略執行完畢。

算法4基于模糊區間決策圖的策略動態匹配算法match(m,t)

輸入決策圖根節點t，威脅報警根節點m

輸出威脅處置策略列表

算法4 將報警信息中的威脅特征在決策圖中進行深度優先搜索和匹配，其時間復雜度為其中，為決策圖的頂點數，為決策圖的邊數。對比策略匹配時常用的順序匹配算法，即報警信息與策略庫中的策略匹配條件進行逐條比較，其時間復雜度為O(nm)，其中，n為策略庫中的策略數，m為每個策略匹配條件中的威脅特征數量。

使用模糊區間決策圖構建策略庫，相同區間劃分的威脅特征進行了合并，使生成的決策圖的頂點數和邊數遠小于原始策略的數量，減少了策略條件匹配時的求交操作次數，降低了策略匹配的時間復雜度。

5 實驗

使用C語言實現了模糊區間決策圖的構造算法和基于模糊區間決策圖的策略匹配算法，實驗平臺為超云服務器（R7410 G11），CPU 型號為Intel(R)Xeon(R)Gold 6234 CPU@3.30 GHz，內存大小為96 GB，操作系統為CentOS7，內核版本為3.10.0-1062.el7.x86_64，GCC 版本為4.8.5，采用鄰接鏈表存儲模糊區間決策圖。

為模擬不同策略庫規模對于策略匹配的時間影響，本文設置了50 組威脅類型、嚴重程度、置信度、攻擊頻度的可選值，以及根據策略庫規模與策略動作的數量關系劃分了7 組（非常高（VH）、高（H）、偏高（MH）、中等（M）、偏低（ML）、低（L）、很低（VL））策略相似度，其中，非常高表示多個策略匹配條件選擇相同的策略動作，很低表示每個策略匹配條件唯一地選擇了一個策略動作，共計生成了350 組不同策略庫規模的決策圖。

為驗證基于模糊區間決策圖的策略模糊匹配的高效性，本文選擇傳統的順序匹配方案，在匹配時間和內存消耗這2 個方面進行比較，共設置8 組實驗，其中，7 組是不同策略相似度的基于區間決策圖的匹配方案，一組是順序匹配方案。僅設置一組順序匹配方案的原因在于原始的策略中，每個策略匹配條件僅會選擇一個策略動作，策略是否相似對于順序匹配的時間和內存消耗是沒有影響的。

基于區間決策圖的匹配方案與順序匹配方案的運算時間的部分結果如表1 所示，隨策略數量的變化趨勢如圖9 所示。從圖9 可以看出，7 組基于區間決策圖的匹配方案明顯低于順序匹配方案，這驗證了基于模糊區間決策圖進行策略匹配的有效性和效率。基于決策圖的匹配方案中策略相似度越高，匹配時間越短。

表1 基于區間決策圖的匹配方案與順序匹配方案的運算時間的部分結果

圖9 策略匹配時間隨策略數量的變化趨勢

基于區間決策圖的匹配方案與順序匹配方案的內存消耗的部分結果如表2 所示，隨策略數量的變化趨勢如圖10 所示。從圖10 可以看出，當策略相似度很低時，基于區間決策圖的匹配方案的內存消耗略低于順序匹配方案，基于區間決策圖的其他6 組實驗的內存消耗遠低于順序匹配方案，其原因是決策圖高效的合并策略匹配條件和策略動作，減少了相同策略元素的重復存儲，使占用的內存空間遠低于扁平存儲結構的順序匹配方案。

表2 基于區間決策圖的匹配方案與順序匹配方案的內存消耗的部分結果

圖10 策略匹配的內存消耗隨策略數量的變化趨勢

策略匹配時間隨決策圖頂點數和邊數的變化趨勢如圖11 所示。圖11 驗證了基于模糊區間決策的策略匹配算法的時間復雜度為對于稀疏圖，最小邊數為對于稠密圖，最大邊數為結合表1 可看出，本文的模糊區間決策圖為稀疏圖。

圖11 決策圖頂點數、邊數與策略匹配時間的變化趨勢

通過不同策略庫規模下生成決策圖，并進行策略匹配的實驗可知，采用模糊區間決策圖組織策略庫，形成了對威脅特征狀態空間的隱式表示，使生成的決策圖的頂點數和邊數遠小于原始策略數，減少了策略條件匹配次數，較順序比較各策略條件的威脅特征，具有數據級優勢。

6 結束語

如何快速準確地選取威脅處置策略是確保網絡安全中的一項重要挑戰，針對該問題，本文提出了基于區間決策圖的威脅處置策略快速匹配方法。首先設計了威脅處置策略歸一化描述方法，定義了模糊化的威脅處置策略；依據威脅類型、嚴重程度、置信度、攻擊頻度、傳播方式，設計了單威脅策略的模糊構造算法；針對多條模糊處置策略，設計了模糊區間決策圖合并算法和策略快速匹配算法，實驗表明了所提方法的有效性。

雖然所提方法能有效地選取威脅處置策略，但其準確度依賴于隸屬度函數；在實際應用中不同威脅特征下采用威脅處置策略的隸屬度不同，未來需要依據歷史處理策略的有效性，采用機器學習等方法準確地獲取不同威脅特征下威脅處置策略隸屬度。