基于證據(jù)理論的網(wǎng)絡(luò)安全態(tài)勢感知評估研究綜述

摘要：文章綜述了基于證據(jù)理論的網(wǎng)絡(luò)安全態(tài)勢感知評估研究。文章首先介紹了D-S證據(jù)理論的相關(guān)概念，對證據(jù)理論在信息融合領(lǐng)域的應(yīng)用進行了歸納梳理；隨后對新發(fā)展的網(wǎng)絡(luò)安全態(tài)勢感知評估模型進行了總結(jié)與對比；最后，總結(jié)分析了不同的基于改進D-S證據(jù)理論的網(wǎng)絡(luò)安全態(tài)勢感知評估模型的優(yōu)缺點，并據(jù)此對其未來發(fā)展方向進行了分析與展望。

關(guān)鍵詞：網(wǎng)絡(luò)安全態(tài)勢感知；D-S證據(jù)理論；態(tài)勢評估

中圖分類號：TP3-05

文獻標識碼：A

文章編號：1009-3044（2025）13-0080-03

0引言

網(wǎng)絡(luò)安全態(tài)勢感知（NetworkSecuritySituationAwareness，NSSA）在最近幾年具有良好的研究前景。它能夠融合所有可獲取的信息，并對網(wǎng)絡(luò)的安全態(tài)勢進行評估，為安全分析員提供決策依據(jù)，將不安全因素帶來的風險和損失降到最低。在提高網(wǎng)絡(luò)的監(jiān)控能力、應(yīng)急響應(yīng)能力和預測網(wǎng)絡(luò)安全的發(fā)展趨勢等方面都具有重要意義[1]。而網(wǎng)絡(luò)安全態(tài)勢評估是網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)實現(xiàn)的重要環(huán)節(jié)。目前，許多學者正致力于探索采用Dempster-Shafer（D-S）證據(jù)理論，從不同維度、以不同方式對網(wǎng)絡(luò)安全評估模型進行構(gòu)建，以應(yīng)對日益復雜且變化多端的大數(shù)據(jù)環(huán)境。

1D-S證據(jù)理論

DEMPSTERD-S證據(jù)理論和SHAFER，全稱提出Dempster-Shafer。具有較高的評估效率證據(jù)理論，由，在解決不確定性的信息融合方面具有較大的優(yōu)勢[2]。

1.1D-S證據(jù)理論的基本概念

在D-S證據(jù)理論中，命題用集合來表示，該集合包含了一個命題的所有可能結(jié)果，被稱為辨識框架，代表一個完整的樣本空間，通常用符號Θ表示。辨識框架Θ由一系列的元素θi組成，且不同元素之間相互獨立，即Θ={θ1，θ2，...，θn}辨識框架為Θ，如果集函數(shù)m：2Θ→[0，1]滿足式（1）：

1.2改進D-S證據(jù)理論

在多源信息融合領(lǐng)域，D-S證據(jù)理論是一個有效的信息融合工具。如何實現(xiàn)對高沖突證據(jù)的有效融合并得到合理的融合結(jié)果是目前的熱門話題。

不同學者對于高沖突的解決的切入點也不盡相同，部分學者是在證據(jù)源的基礎(chǔ)上通過對于證據(jù)理論算法的改進來解決沖突問題。如鎖斌[3]對于高沖突區(qū)間數(shù)證據(jù)合成中的悖論問題，提出先采用不交化運算將相交關(guān)系的焦元轉(zhuǎn)化為相等或包含關(guān)系，然后再采用證據(jù)合成公式對區(qū)間數(shù)證據(jù)進行合成的方法。在算法本身的基礎(chǔ)上對基本概率分配函數(shù)進行改進。

而常仕媛[4]提出的解決證據(jù)間融合的高沖突性的方法是在基于修正證據(jù)源的基礎(chǔ)上，提出兩種加權(quán)證據(jù)組合方法。第一種是基于證據(jù)之間的距離、證據(jù)間的差異度以及證據(jù)間的角度結(jié)合證據(jù)本身的辨識度綜合確定證據(jù)權(quán)重，第二種在證據(jù)度量機制中引入單純形，以證據(jù)距離，證據(jù)與單純性中心連線的夾角來確定綜合權(quán)重。巧妙應(yīng)用角度來度量證據(jù)權(quán)重，提供了一種新的解決思路。

也有一部分學者通過引入不同函數(shù)與證據(jù)理論結(jié)合，也具有很好的解決沖突的效果。如李赫軒[5]在D-S證據(jù)理論的基礎(chǔ)上，引入Lance距離函數(shù)及SAC相似度，提出基于沖突再分配的證據(jù)修正方法，該方法基于證據(jù)的沖突性和相關(guān)性。李明[6]提出Murphy和D-S證據(jù)理論相結(jié)合的方法，先是對證據(jù)進行分類，采用Murphy方法對證據(jù)進行融合，融合后的證據(jù)進行加權(quán)處理后，再用D-S組合進行融合，實驗結(jié)果證明提高了評估的準確率。

此外，引用熵值來量化指標也是目前很多學者采用的，相比之下，對于證據(jù)賦權(quán)更簡潔方便。如李赟豪[7]提出基于熵權(quán)法改進D-S證據(jù)理論的融合算法。通過多個證據(jù)的熵值來確定其權(quán)重，相較傳統(tǒng)的D-S證據(jù)理論，該融合算法具有更好的優(yōu)越性。耿彥濤[8]引入置信Hellinger距離衡量BPA函數(shù)間的沖突程度，Shannon熵來對BPA函數(shù)的信息量量化，以達到對BPA函數(shù)的加權(quán)預處理。最后，通過D-S證據(jù)理論的組合規(guī)則進行融合，實驗證明，結(jié)果準確率有了大幅提高。張?zhí)煊闧9]在D-S證據(jù)理論的基礎(chǔ)上，提出基于指數(shù)熵量化不同證據(jù)的算法和迭代融合算法，通過計算不同證據(jù)信息量的差距和對目標焦元的支持的比例來確定證據(jù)的修正系數(shù)，證據(jù)融合的結(jié)果通過重復迭代直到融合結(jié)果收斂。通過實驗證明該改進算法在處理證據(jù)沖突時的高效性和準確性。

2基于證據(jù)理論的網(wǎng)絡(luò)安全態(tài)勢評估模型

近年來，針對傳統(tǒng)的態(tài)勢感知評估模型，基于經(jīng)典的模型和理念，出現(xiàn)了多種不同場景下的網(wǎng)絡(luò)安全態(tài)勢感知模型的融合和發(fā)展。這些模型在繼承傳統(tǒng)理念的基礎(chǔ)上，結(jié)合了新的技術(shù)和方法，以適應(yīng)不同網(wǎng)絡(luò)安全場景下的需求。

2.1網(wǎng)絡(luò)安全態(tài)勢評估模型

目前的態(tài)勢評估方法按理論基礎(chǔ)主要可分為基于數(shù)學模型、基于知識推理、基于人工智能3類[10]，如表1所示。

2.1.1基于數(shù)學模型

基于數(shù)學模型的理論方法中，層次分析法應(yīng)用相比更廣泛，層次分析法（AnalyticHierarchyProcess，AHP）是把一個復雜的多目標決策問題及其有關(guān)因素分解成多個目標、準則，進而進行定性和定量分析的系統(tǒng)決策方法。文獻[11]從設(shè)備、網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用3個層面自上而下地綜合評估了威脅態(tài)勢、自身的脆弱性態(tài)勢及網(wǎng)絡(luò)系統(tǒng)的整體資產(chǎn)運行態(tài)勢，結(jié)合科學評估方法得到了準確的網(wǎng)絡(luò)安全態(tài)勢評估結(jié)果。實驗證明，層次化網(wǎng)絡(luò)安全態(tài)勢評估方法極大地提升了網(wǎng)絡(luò)安全檢測的能力和水平，對網(wǎng)絡(luò)安全態(tài)勢評估能力提升的作用效果顯著。

2.1.2基于知識推理

基于知識推理的理論方法中，貝葉斯網(wǎng)絡(luò)應(yīng)用相對更廣泛。貝葉斯網(wǎng)絡(luò)（BayesianNetwork），又稱信念網(wǎng)絡(luò)（BeliefNetwork），或有向無環(huán)圖模型（directedacy?clicgraphicalmodel），是一種概率圖模型。文獻[12]基于殘余風險理論，將動態(tài)貝葉斯網(wǎng)絡(luò)與攻擊圖相結(jié)合構(gòu)建結(jié)構(gòu)模型，對動態(tài)貝葉斯網(wǎng)絡(luò)的直接計算推理算法和BayesianTransformer模型進行并行化改進，取得了良好的效果。但此模型僅考慮了需要防護的大型信息系統(tǒng)自身的各項指標，未考慮攻擊者的各項信息。而文獻[13]提出的基于貝葉斯博弈理論的量化方法，依靠不同類型攻擊者當前攻擊策略的收益和攻擊者的概率分布計算得到網(wǎng)絡(luò)安全態(tài)勢值。

2.1.3基于人工智能

人工智能是一個宏大的愿景，其目標是讓機器像我們?nèi)祟愐粯铀伎己托袆印Ｈ斯ぶ悄馨瑱C器學習，機器學習又包含了深度學習。基于深度學習的方法通過模擬人類大腦的神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)來實現(xiàn)對數(shù)據(jù)的學習和理解。文獻[14]提出基于深度學習和多通道機制的態(tài)勢評估模型，采用concat方法融合形成更全面的特征并評估態(tài)勢，通過神經(jīng)網(wǎng)絡(luò)的自主學習，提高態(tài)勢評估的準確率和召回率，使用加權(quán)bagging集成方法加強了評估模型的穩(wěn)定性。文獻[15]提出一種基于Inception-CNN的網(wǎng)絡(luò)安全態(tài)勢評估方法，將卷積神經(jīng)網(wǎng)絡(luò)與改進后的Inception模塊相結(jié)合。文獻[16]提出基于MFCA-CNN的評估模型，以卷積神經(jīng)網(wǎng)絡(luò)為核心，結(jié)合CA注意力機制，解決了評估模型收斂速度慢、局部最優(yōu)的問題。

2.1.4各評估模型的優(yōu)缺點

綜上所述，本文從AHP、貝葉斯網(wǎng)絡(luò)、機器學習、深度學習等方面闡述了網(wǎng)絡(luò)安全態(tài)勢評估模型的研究現(xiàn)狀，總結(jié)了不同評估模型的優(yōu)缺點，如表2所示。

2.2基于D-S證據(jù)理論網(wǎng)絡(luò)安全態(tài)勢評估不同模型的對比

在網(wǎng)絡(luò)安全態(tài)勢評估中，D-S證據(jù)理論通過將不同信息源的證據(jù)進行合理的融合，以達到準確評估網(wǎng)絡(luò)當前的安全狀態(tài)、及時發(fā)現(xiàn)網(wǎng)絡(luò)中潛在的安全威脅的目的。

2.2.1證據(jù)理論在網(wǎng)絡(luò)安全態(tài)勢評估中的應(yīng)用

D-S證據(jù)理論在網(wǎng)絡(luò)安全評估中的應(yīng)用為處理復雜多變的網(wǎng)絡(luò)安全威脅提供了有力的支持。具體來說，各項應(yīng)用總結(jié)如表3所示。

2.2.2基于改進證據(jù)理論的網(wǎng)絡(luò)安全評估模型性能分析

本文將分析基于證據(jù)理論的不同模型的高效性，從證據(jù)理論原始算法的改進、證據(jù)理論和不同算法的結(jié)合兩種不同改進模型來進行對比。

針對原始算法進行改進：文獻[17]提出基于改進證據(jù)理論的網(wǎng)絡(luò)安全態(tài)勢評估算法，基本思想是在網(wǎng)絡(luò)安全態(tài)勢評估的基礎(chǔ)上引入BPA，并采用牛頓法優(yōu)化專家信度，通過迭代計算搜索方向，得到最優(yōu)函數(shù)，然后使用廣義的Jaccard一致性度量方法計算證據(jù)源距離，求得證據(jù)的支持度和可信度。通過線性加權(quán)客觀權(quán)重和主觀權(quán)重得到綜合權(quán)重，最后修正mass函數(shù)，利用證據(jù)合成公式融合計算網(wǎng)絡(luò)安全綜合態(tài)勢。該文獻對證據(jù)理論的改進主要是采用將局部沖突進行合理分配的方法以達到解決證據(jù)源沖突的目的。該文獻設(shè)計的二級指標集很大程度上涵蓋了所有可能的指標集合，具有全面性和借鑒性。

以下三種方法是在證據(jù)理論的基礎(chǔ)上結(jié)合其他算法的模型：文獻[18]針對BPA獲取方式缺乏說服性和科學性的問題，采用遺傳算法改善BP神經(jīng)網(wǎng)絡(luò)的方法，進行基于改進證據(jù)理論的物聯(lián)網(wǎng)安全態(tài)勢評估。模型包括數(shù)據(jù)采集、BPA構(gòu)造、D-S證據(jù)融合和態(tài)勢評估四個部分，數(shù)據(jù)收集統(tǒng)一處理后，在GA-BP神經(jīng)網(wǎng)絡(luò)處理層訓練，獲取態(tài)勢BPA，再將態(tài)勢BPA和Demp?ster合成表達式進行循環(huán)處理，決策分析后獲得態(tài)勢評估結(jié)果。根據(jù)實驗結(jié)果可以看到該模型提高了評估結(jié)果的準確度。文獻[19]提出隱Markov模型、Pag?eRank算法和D-S證據(jù)理論的整體態(tài)勢評估技術(shù)，首先通過Markov模型對多源數(shù)據(jù)進行整合，然后使用PageRank算法對每個節(jié)點分配權(quán)重，最后使用D-S證據(jù)理論對網(wǎng)絡(luò)的威脅性、脆弱性、資產(chǎn)三個態(tài)勢指標進行決策層融合，得到網(wǎng)絡(luò)整體安全態(tài)勢。文獻[20]提出了基于DS-GAElman的網(wǎng)絡(luò)安全態(tài)勢評估方法，使用GA-Elman獲取D-S證據(jù)理論中需要的各證據(jù)的BPA，最終通過改進的D-S證據(jù)理論對各證據(jù)進行修正融合，獲取最終的評估結(jié)果。

為探索態(tài)勢評估任務(wù)的算法模型在態(tài)勢評估數(shù)據(jù)集上的性能，我們將研究的基于改進證據(jù)理論的網(wǎng)絡(luò)安全評估模型分為兩類：證據(jù)理論原始算法的改進、證據(jù)理論和不同算法的結(jié)合。經(jīng)過對比發(fā)現(xiàn)，目前基于證據(jù)理論的網(wǎng)絡(luò)安全評估模型更傾向于與神經(jīng)網(wǎng)絡(luò)結(jié)合，神經(jīng)網(wǎng)絡(luò)具有很強的擴展性，便于從歷史數(shù)據(jù)中獲得網(wǎng)絡(luò)安全態(tài)勢劃分的知識。因此，為了實現(xiàn)更全面的網(wǎng)絡(luò)安全態(tài)勢評估，需要進一步深入研究和探索神經(jīng)網(wǎng)絡(luò)方法在該領(lǐng)域的應(yīng)用潛力。另外，目前還尚未形成統(tǒng)一的網(wǎng)絡(luò)安全態(tài)勢評估標準方法，這也正是當前網(wǎng)絡(luò)安全領(lǐng)域的熱門研究方向之一。

通過不斷探索和創(chuàng)新，我們可以期待在網(wǎng)絡(luò)安全態(tài)勢評估領(lǐng)域取得更大的突破和進展，為網(wǎng)絡(luò)安全提供更有效的保護和防御手段。

3結(jié)束語

本文綜述了基于證據(jù)理論的網(wǎng)絡(luò)安全態(tài)勢評估研究，分析了現(xiàn)有模型的優(yōu)缺點和改進方向。未來研究可以關(guān)注深度學習和神經(jīng)網(wǎng)絡(luò)在態(tài)勢評估中的應(yīng)用，并探索建立更全面的評估標準方法。

參考文獻：

[1]石樂義，劉佳，劉祎豪，等.網(wǎng)絡(luò)安全態(tài)勢感知研究綜述[J].計算機工程與應(yīng)用，2019，55（24）：1-9.

[2]楊木林，童蓍庾，潘紅光.基于D-S證據(jù)理論的礦工精神狀態(tài)融合評估算法[J].西安科技大學學報，2023，43（2）：414-421.

[3]鎖斌.基于證據(jù)理論的不確定性量化方法及其在可靠性工程中的應(yīng)用研究[D].綿陽：中國工程物理研究院，2012.

[4]常仕媛.基于D-S證據(jù)理論的模糊規(guī)則提取及高沖突證據(jù)的融合研究[D].鞍山：遼寧科技大學，2023.

[5]李赫軒.基于改進D-S證據(jù)理論的旋轉(zhuǎn)機械運行狀態(tài)識別方法研究[D].長春：吉林大學，2023.

[6]李明.一種沖突證據(jù)的分類加權(quán)融合方法[J].西安郵電大學學報，2023，28（6）：74-81.

[7]李赟豪.基于多源信息融合的電主軸服役狀態(tài)評估[D].西安：西安理工大學，2023.

[8]耿彥濤.基于深度學習與D-S證據(jù)理論的多模態(tài)數(shù)據(jù)融合方法研究[D].西安：西安理工大學，2023.

[9]張?zhí)煊?基于D-S證據(jù)理論與SVM的數(shù)據(jù)融合方法研究與應(yīng)用[D].西安：西安電子科技大學，2023.

[10]楊宇，谷宇恒.網(wǎng)絡(luò)安全態(tài)勢感知綜述[J].科學技術(shù)與工程，2022，22（34）：15011-15019.

[11]李學民，顧麗旺，宮克.基于威脅情報的網(wǎng)絡(luò)安全態(tài)勢評估方法研究[J].情報工程，2023，9（4）：3-13.

[12]荊浩.基于動態(tài)貝葉斯網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評估模型研究[D].呼和浩特：內(nèi)蒙古工業(yè)大學，2023.

[13]范豪鈺.基于貝葉斯博弈理論的網(wǎng)絡(luò)化空管系統(tǒng)安全態(tài)勢感知研究[D].天津：中國民航大學，2023.

[14]羅堡文.基于深度學習的網(wǎng)絡(luò)安全態(tài)勢評估研究[D].成都：電子科技大學，2020.

[15]朱晨飛.基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評估與預測方法研究[D].北京：中國人民公安大學，2019.

[16]周新.基于深度學習的網(wǎng)絡(luò)安全態(tài)勢評估與預測技術(shù)研究[D].重慶：重慶理工大學，2024.

[17]韓曉露.大數(shù)據(jù)環(huán)境網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵技術(shù)研究[D].北京：北京交通大學，2021.

[18]馮英偉，王慶福，呂國，等.基于改進證據(jù)理論的物聯(lián)網(wǎng)安全態(tài)勢評估[J].西安理工大學學報，2018，34（4）：495-501.

[19]楊明遠.基于多源數(shù)據(jù)分析的網(wǎng)絡(luò)安全整體態(tài)勢與實時態(tài)勢評估技術(shù)研究[D].杭州：浙江大學，2018.

[20]羅琦琦.基于D-S理論的網(wǎng)絡(luò)安全態(tài)勢感知研究[D].南京：南京郵電大學，2021.

【通聯(lián)編輯：代影】