技術領域

本發明是關于網絡安全態勢評估方法，特別涉及基于模糊粗糙集的網絡安全態勢評估方法。

背景技術

隨著網絡規模的不斷擴大和趨于復雜，網絡的安全威脅也日益加劇。各類日志與報警信息形式多樣、格式不一，且冗余較大、誤警率高，傳統的處理方式已難以應對。在此背景下，為應對大規模網絡和多源安全信息，從傳統的安全評估衍生出了網絡安全態勢感知(network security situation awareness，NSSA)。網絡安全態勢感知包含態勢理解、態勢評估、態勢預測及態勢可視化4個環節。

態勢評估是網絡安全態勢感知的核心環節，也是數據融合領域的研究重點。網絡態勢評估方法大致可分為3類：基于數學模型的方法、基于知識推理的方法和基于模式識別的方法。其中，基于數學模型的方法可細分為層次分析法、集對分析法等；基于知識推理的方法可分為基于圖模型的方法、基于證據理論的方法等；基于模式識別的方法可分為灰關聯分析方法、粗糙集合方法和神經網絡方法等。網絡態勢評估即在融合各安全信息并進行簡單處理的基礎上，通過一些數學方法或者數學模型，經過分析，得到一個對當前網絡安全狀態的整體描述。簡言之，該過程即態勢因子集合到態勢集合的映射。態勢因子是指可以引起網絡態勢變化的因素，由網絡安全信息抽象得到。

對于網絡態勢評估方法中的粗糙集方法，由于粗糙集方法不需要先驗知識，適合進行網絡態勢評估的屬性約簡，但在處理實數型屬性值上存在需要離散化的問題，離散化將損失精度，同時，不同的離散化方法或者同一離散化方法設定不同的參數可能導致不同的結果。為解決實數連續屬性需要離散化的問題，模糊粗糙集方法作為粗糙集方法的一種推廣，是一種可行的方法，但計算復雜度過高。

發明內容

本發明的主要目的在于克服現有技術中的不足，提供計算時間復雜度大大降低，并能提供良好決策結果的基于模糊粗糙集的網絡安全態勢評估方法。為解決上述技術問題，本發明的解決方案是：

提供基于模糊粗糙集的網絡安全態勢評估方法，具體包括下述步驟：

(1)獲取態勢因子與態勢等級，構成態勢等級關于態勢因子的決策表；決策表的每一行為一條決策規則，每條決策規則包括各個態勢因子的取值和態勢等級的取值；

所述態勢因子是指能引起網絡態勢變化的因素，由網絡安全信息抽象得到(比如將監測數據、日志等作為態勢因子)，在決策表中，態勢因子為條件屬性，取值類型包括離散型和連續型；

所述態勢等級是對網絡態勢的衡量(如正常、緊急、高危等)，在決策表中態勢等級為決策屬性，取值類型為離散型；

(2)對步驟(1)得到的決策表中，具有相同離散型條件屬性值且有相同決策屬性值的決策規則進行聚合，即將這些決策規則中的連續實數值聚合成區間值；

(3)步驟(2)聚合后得到包含離散屬性和區間值屬性的決策表，對其中不同類型屬性值間(包括離散屬性值和區間屬性值)的相似程度進行定義，構成模糊相似關系；

(4)將步驟(3)通過相似性定義得到的模糊相似關系，表示為模糊相似矩陣，并定義在模糊關系上模糊粗糙集的上近似、下近似；然后利用定義的模糊粗糙集的上下近似，定義模糊正域和基于模糊正域的依賴函數；

再基于模糊正域的方法對決策表中的態勢因子進行屬性約簡(屬性約簡只是對態勢因子進行約簡，即獲得一個態勢因子的子集，態勢因子的取值類型經過聚合后只有區間型和離散型)，即當一個屬性子集下的依賴函數的取值與屬性全集上的依賴函數的取值相同，按照模糊粗糙集的定義，將該屬性子集看做是屬性全集的一個約簡；

(5)利用步驟(4)得到約簡后的決策表，并通過KNN分類器對當前網絡需要判斷的數據進行決策，得到態勢等級。

在本發明中，所述步驟(1)中的決策表是一個四元組DT＝<U，C_UD，V，f>；

其中，U是一個非空有限集；C是一個非空有限條件屬性集；D是決策屬性；V是所有屬性值域的并，即V＝U_a∈CUDV_a，V_a是在屬性a上的V的所有可能取值；函數f：U×C_UD→V是從元素x∈U和屬性到V_a的一個映射，即f(a，x)∈V_a，f(a，x)是元素x在屬性a上的取值。