葛 琳，季新生，江 濤

（國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心 鄭州450002）

1 引言

電信網(wǎng)與互聯(lián)網(wǎng)的融合發(fā)展，打破了傳統(tǒng)電信網(wǎng)絡(luò)相對封閉的格局，同時(shí)也將原本在互聯(lián)網(wǎng)中存在的一些安全問題引入電信網(wǎng)[1]。信息內(nèi)容安全事件（information content security incident，ICSI）指利用信息網(wǎng)絡(luò)發(fā)布傳播危害國家安全、社會(huì)穩(wěn)定和公共利益的內(nèi)容的安全事件[2]。近年來，電信網(wǎng)絡(luò)的信息內(nèi)容安全事件持續(xù)增多。以中國電信2010年公布的統(tǒng)計(jì)數(shù)字為例，全網(wǎng)發(fā)生騷擾信息投訴量51萬余次，各類安全事件均呈現(xiàn)快速增長勢頭[3]。由此可以看出，網(wǎng)絡(luò)IP化、終端智能化和應(yīng)用多樣化為各類信息內(nèi)容安全事件的發(fā)生提供了便利條件，給電信網(wǎng)絡(luò)安全帶來極大的挑戰(zhàn)。加強(qiáng)電信網(wǎng)絡(luò)安全域劃分，提高全網(wǎng)的統(tǒng)一安全管理能力，建設(shè)同步于電信網(wǎng)絡(luò)發(fā)展水平的信息安全體系迫在眉睫[4]。

網(wǎng)絡(luò)安全監(jiān)控及防護(hù)的一個(gè)重要手段就是對網(wǎng)絡(luò)當(dāng)前的安全狀況進(jìn)行分析感知。態(tài)勢感知技術(shù)融合可獲取的信息，從宏觀角度實(shí)時(shí)展現(xiàn)網(wǎng)絡(luò)的整體安全態(tài)勢，為網(wǎng)絡(luò)安全管理者的決策分析提供技術(shù)依據(jù)和數(shù)據(jù)支持。目前的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)主要應(yīng)用于互聯(lián)網(wǎng)，針對電信網(wǎng)的研究尚處于起步階段，而且主要針對電信網(wǎng)中的攻擊類事件，即對網(wǎng)絡(luò)中的病毒、操作系統(tǒng)漏洞、防火墻、入侵檢測系統(tǒng)和安全日志等各防護(hù)設(shè)備所產(chǎn)生的數(shù)據(jù)，進(jìn)行融合后做出決策評估[5～7]。信息內(nèi)容安全事件與攻擊類事件相比，具有不同的特征：攻擊類事件以破壞網(wǎng)絡(luò)正常通信為目的，強(qiáng)度大，維度單一，通?？蓺w為行為異常所引起的網(wǎng)絡(luò)安全態(tài)勢變化顯著，較易覺察；信息內(nèi)容安全事件以傳播不良信息內(nèi)容為目的，強(qiáng)度較小，多維信息，既有行為異常也有內(nèi)容異常，隱蔽性大，對其所引起的態(tài)勢較難把握。如何借鑒現(xiàn)有的態(tài)勢感知技術(shù)，全方位部署電信網(wǎng)安全防護(hù)設(shè)備，并有效利用其產(chǎn)生的海量、多維安全信息做出快速、及時(shí)的融合判定，是當(dāng)前電信網(wǎng)安全領(lǐng)域的研究熱點(diǎn)。

本文基于對電信網(wǎng)信息內(nèi)容安全事件主要特征的分析，提出一種分布式、層次化結(jié)構(gòu)的態(tài)勢感知模型，針對模型中數(shù)據(jù)分層融合的特點(diǎn)，采用基于Dempster-Shafer（D-S）證據(jù)理論的信息融合近似算法，并在仿真環(huán)境中對模型進(jìn)行了實(shí)驗(yàn)驗(yàn)證。

2 電信網(wǎng)信息內(nèi)容安全事件特征

隨著電信網(wǎng)和互聯(lián)網(wǎng)融合的深入發(fā)展及多媒體業(yè)務(wù)的日益成熟，一方面，電信網(wǎng)所面臨的信息內(nèi)容安全事件形式趨于多樣；另一方面，由于互聯(lián)網(wǎng)是一個(gè)以用戶為核心的非盈利性網(wǎng)絡(luò)，很多通信業(yè)務(wù)及軟件可免費(fèi)使用，使得發(fā)起信息內(nèi)容安全事件的成本大大降低，因此，電信網(wǎng)終端用戶所遭受的不良信息安全事件的數(shù)量增多，同時(shí)規(guī)模變大。通過對此類事件發(fā)生時(shí)電信網(wǎng)絡(luò)狀態(tài)變化、用戶通信行為和信息內(nèi)容特點(diǎn)的研究，對其特征進(jìn)行歸納，具體如下。

（1）突發(fā)性

信息內(nèi)容安全事件的主要目的是通過散播非法信息內(nèi)容，挑起爭端、破壞社會(huì)穩(wěn)定，此類事件的發(fā)生具有突發(fā)性。

（2）針對性

信息內(nèi)容安全事件的目標(biāo)用戶通常為在特定時(shí)間段，發(fā)生了熱點(diǎn)或敏感社會(huì)問題的區(qū)域內(nèi)的用戶群體，即信息內(nèi)容安全事件具有一定的針對性。在這種情況下，網(wǎng)絡(luò)中的流量通常會(huì)有較為明顯的變化趨勢。

（3）干擾性

信息內(nèi)容安全事件擾亂用戶的正常通信，惡意占用網(wǎng)絡(luò)資源，對于目標(biāo)用戶而言，接收到此類信息后，選擇短時(shí)間內(nèi)切斷通信的用戶數(shù)量較正常通信情況會(huì)有所增多，由此會(huì)引起電信網(wǎng)絡(luò)中單位時(shí)間內(nèi)，短時(shí)通話數(shù)量增多。

（4）重復(fù)性

目前，針對流量異常和短時(shí)通話數(shù)量變化等問題均已有防護(hù)技術(shù)，而某些不良信息源為了規(guī)避檢測攔截，未必會(huì)在短時(shí)間內(nèi)發(fā)送大量足以引起網(wǎng)絡(luò)流量和短時(shí)通話數(shù)量變化的信息，但其所發(fā)送的信息內(nèi)容卻具有相同和重復(fù)的特性。因此，對信息內(nèi)容的重復(fù)性檢測可作為一種有效的補(bǔ)充和完善。

（5）特定性

信息的傳輸內(nèi)容通常為某種或某類特定的音/視頻內(nèi)容。

上述前3個(gè)特征可看作由用戶通信行為異常引起的網(wǎng)絡(luò)狀態(tài)的變化，其中，網(wǎng)絡(luò)流量和短時(shí)通話的變化可看作通信狀態(tài)異常；后兩個(gè)特征可看作通信內(nèi)容異常。表1為信息內(nèi)容安全事件的主要特征及其對電信網(wǎng)絡(luò)通信的影響。

表1 信息內(nèi)容安全事件特征及其對電信網(wǎng)絡(luò)通信的影響

目前業(yè)界針對信息內(nèi)容安全事件的各相關(guān)特征，已經(jīng)研究了相應(yīng)的網(wǎng)絡(luò)安全防護(hù)措施，但單一的安全防護(hù)措施沒有綜合考慮各種防護(hù)措施之間的關(guān)聯(lián)性和邏輯性，無法從宏觀角度掌握網(wǎng)絡(luò)安全的需求。現(xiàn)代網(wǎng)絡(luò)管理要求必須能夠在動(dòng)態(tài)變化的復(fù)雜環(huán)境中，對各種不確定的網(wǎng)管信息進(jìn)行分析評估，以便網(wǎng)絡(luò)管理員能以量化的方式，認(rèn)知和理解網(wǎng)絡(luò)中安全事件的整體狀況和趨勢，從而迅速、準(zhǔn)確地做出決策。如何對各監(jiān)測設(shè)備的告警數(shù)據(jù)進(jìn)行分析處理，給出網(wǎng)絡(luò)中信息內(nèi)容安全事件當(dāng)前的態(tài)勢狀況，是本文要研究的主要問題。

3 電信網(wǎng)態(tài)勢感知模型

3.1 態(tài)勢感知模型的部署

網(wǎng)絡(luò)信息安全防護(hù)的目標(biāo)是，使受保護(hù)網(wǎng)絡(luò)中的實(shí)體和用戶不受來自外部網(wǎng)絡(luò)的攻擊騷擾。也就是說，安全防護(hù)模型應(yīng)處于受保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，且假設(shè)只在它的一側(cè)存在騷擾源[8]。這里把受保護(hù)網(wǎng)絡(luò)定義為可控網(wǎng)絡(luò)（controllable network，CN），外部網(wǎng)絡(luò)定義為不可控網(wǎng)絡(luò)（uncontrollable network，UN）。如圖1所示，假設(shè)信息源（information source，IS）為｛s0,s1,…,sn｝，從不可控網(wǎng)絡(luò)向可控網(wǎng)絡(luò)實(shí)施信息攻擊。騷擾方的目的是盡可能多地將不良信息傳遞給可控網(wǎng)絡(luò)中的目標(biāo)用戶（target user，TU），TU=｛u0,u1,…,um｝。在可控網(wǎng)絡(luò)的關(guān)口，部署態(tài)勢感知模型（situation awareness model，SAM）。對SAM而言，其目標(biāo)是能夠?qū)崟r(shí)感知到信息內(nèi)容安全事件的發(fā)生和強(qiáng)度。

圖1 電信網(wǎng)信息攻擊事件模型

3.2 態(tài)勢感知模型的設(shè)計(jì)

SAM實(shí)現(xiàn)對網(wǎng)絡(luò)當(dāng)前安全狀態(tài)的感知，首先，需要通過數(shù)據(jù)采集獲取網(wǎng)絡(luò)中的通信數(shù)據(jù)信息；其次，對所獲取的信息進(jìn)行融合分析；最后，根據(jù)融合結(jié)果做出決策判定。其中，數(shù)據(jù)采集由數(shù)據(jù)采集器（data collector，DC）完成，信息融合 （information fusion，IF）則由各級信息融合節(jié)點(diǎn)完成，如圖2所示。

圖2 態(tài)勢感知系統(tǒng)組成

用DC1，DC2，…，DC5分別表示電信網(wǎng)中信息內(nèi)容安全事件各特征所對應(yīng)的防護(hù)設(shè)備的數(shù)據(jù)采集器。數(shù)據(jù)采集器與各級融合節(jié)點(diǎn)0、1、2和3之間的邏輯關(guān)系如圖3所示。DC1和DC2分別表示針對網(wǎng)絡(luò)流量異常和短時(shí)通話特征的數(shù)據(jù)采集器，當(dāng)兩者中有一個(gè)事件發(fā)生（即兩事件為“或”的關(guān)系）時(shí)，可認(rèn)為網(wǎng)絡(luò)中的通信狀態(tài)產(chǎn)生異常。將其融合結(jié)果2與DC3（內(nèi)容重復(fù)性檢測）再次進(jìn)行融合，判別是否有通信行為異常事件發(fā)生。DC4和DC5分別表示傳輸內(nèi)容中具有特殊音頻和視頻特征的數(shù)據(jù)采集器，若其中一項(xiàng)存在異常，就可認(rèn)為用戶之間的通信內(nèi)容異常，二者即“或”的關(guān)系。

圖3 電信網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)各節(jié)點(diǎn)邏輯關(guān)系

廣告類信息通常發(fā)送時(shí)間集中，發(fā)送區(qū)域有一定的特定性和內(nèi)容重復(fù)性，一般情況下也會(huì)將其歸類為通信行為異常，因此需要對具體通信內(nèi)容進(jìn)行識(shí)別后做出判定；同時(shí)，當(dāng)通信內(nèi)容異常時(shí)，如果所發(fā)送的信息數(shù)量少，則不會(huì)產(chǎn)生網(wǎng)絡(luò)中流量、短時(shí)通話數(shù)量和內(nèi)容重復(fù)等通信行為的異常。為了使最終融合結(jié)果更具有典型性、代表性和較強(qiáng)的針對性，融合結(jié)果1與3兩事件同時(shí)發(fā)生（即“與”的關(guān)系）時(shí)，可判定當(dāng)前網(wǎng)絡(luò)中存在安全問題，作為最終融合結(jié)果0輸出。

通過前文的邏輯關(guān)系分析，電信網(wǎng)態(tài)勢感知模型可采用分布式檢測，分層、多級融合結(jié)構(gòu)。模型分為數(shù)據(jù)層（data layer，DL）、信息層（information layer，IL）和知識(shí)層（knowledge layer，KL），如圖4所示。其中，數(shù)據(jù)層主要由各個(gè)數(shù)據(jù)采集器完成數(shù)據(jù)信息的采集和上報(bào)；信息層將各個(gè)數(shù)據(jù)采集器獲取的信息進(jìn)行初步的分類提煉和融合，形成對態(tài)勢感知有用的信息；知識(shí)層通過數(shù)據(jù)層和信息層的數(shù)據(jù)采集、信息分類融合，形成網(wǎng)絡(luò)當(dāng)前的態(tài)勢感知數(shù)據(jù)。圖4中，局部信息融合中心 （location information fusion center，LIFC）接收和處理來自多個(gè)數(shù)據(jù)采集器的信息，做出初步?jīng)Q策判定；系統(tǒng)信息融合中心（system information fusion center，SIFC）對各局部節(jié)點(diǎn)傳送來的局部決策進(jìn)行融合處理，做出系統(tǒng)的最終決策。

圖4 電信網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)模型

在電信網(wǎng)絡(luò)態(tài)勢感知模型中，各個(gè)數(shù)據(jù)采集器所提供的信息一般是模糊的，包含著大量的不確定性。各級融合中心如何利用不確定性信息進(jìn)行推理，從而做出正確的決策，即模型信息層融合算法的設(shè)計(jì)是整個(gè)模型能否高效運(yùn)行、實(shí)現(xiàn)設(shè)計(jì)理念的關(guān)鍵。證據(jù)理論是一種重要的不確定推理方法，可以將多個(gè)不確定信息的證據(jù)進(jìn)行合成，并采用區(qū)間的方法對不確定性信息進(jìn)行描述，在精確反映證據(jù)聚合程度方面具有很大的靈活性。本文基于D-S理論，采用層次式快速信息融合近似算法，以滿足電信網(wǎng)態(tài)勢感知模型實(shí)時(shí)性和多層信息融合的需求。

3.3 模型信息層融合算法

證據(jù)理論又稱D-S理論或信任函數(shù)理論，是對貝葉斯理論的一種擴(kuò)展，其核心是證據(jù)合成準(zhǔn)則。在證據(jù)理論中，一個(gè)樣本空間稱為一個(gè)辨識(shí)框架，用Θ=｛H1，H2，…，Hm｝表示，具有可窮性和可列性，并且其中的元素均為互斥事件。

定義1設(shè)Θ為一個(gè)識(shí)別框架，若函數(shù)m：2Θ→[0,1]（2Θ為Θ的所有子集）滿足m（○/）=0、為H的基本概率分配函數(shù)或mass函數(shù)。

定義2設(shè)m1，m2，…，mn為識(shí)別框架Θ=｛H1，H2，…，Hm｝上n個(gè)不同的基本概率分配函數(shù)，則其正交和定義為：

定義3設(shè)Θ為識(shí)別框架，m為Θ上的基本概率分配函數(shù)，定義函數(shù)Bel：2Θ→[0,1]為Θ上對應(yīng)于m的信任度函數(shù)，表示對命題H的總的信任程度。

定義4設(shè)Θ為識(shí)別框架，m為Θ上的基本概率分配函數(shù)，定義函數(shù)Pl：2Θ→[0,1]為Θ上對應(yīng)于m的似真度函數(shù)，表示對命題H不否定的信任程度。

設(shè)m1，m2，…，mn為識(shí)別框架Θ=｛H1，H2，…，Hm｝上n個(gè)不同的基本概率分配函數(shù)，滿足：

根據(jù)證據(jù)理論的組合規(guī)則，有：

將式（6）中的各因子分別用矩陣形式表示為：

通過運(yùn)算即可求得m（Hj）、m（Θ）和各個(gè)狀態(tài)的信度區(qū)間[Bel（Hj），Pl（Hj）]。將融合結(jié)論轉(zhuǎn)化為下一步證據(jù)融合的BPA為：

其中，Ai表示第i個(gè)信度區(qū)間在空間形成的區(qū)域，V表示離散數(shù)據(jù)源在Ai區(qū)域內(nèi)的體積，e1，e2，…，en表示連續(xù)數(shù)據(jù)源各個(gè)證據(jù)的正態(tài)分布函數(shù)[9,10]。

3.4 模型的主要特點(diǎn)

模型的主要特點(diǎn)介紹如下。

·可靠性高：采用分布式檢測方式，利用多數(shù)據(jù)采集器對同一事件進(jìn)行多層次反復(fù)融合確認(rèn)，有效降低事件的不確定性，提高系統(tǒng)決策的可信度。

·容錯(cuò)性強(qiáng)：根據(jù)通信網(wǎng)絡(luò)特征進(jìn)行數(shù)據(jù)采集器的部署，覆蓋面廣。當(dāng)某些數(shù)據(jù)采集器出現(xiàn)故障或錯(cuò)誤時(shí)，系統(tǒng)經(jīng)過適當(dāng)?shù)娜诤咸幚恚杂锌赡艿玫秸_結(jié)果。

·實(shí)時(shí)性好：采用分層的融合方式，大大減少了系統(tǒng)和局部信息融合中心的處理數(shù)據(jù)量，可獲得實(shí)時(shí)結(jié)果。

·決策時(shí)間短：模型內(nèi)部連接簡便，通信壓力小，數(shù)據(jù)傳輸及時(shí)準(zhǔn)確，提升了模型的決策速度。

·準(zhǔn)確度高：模型充分考慮電信網(wǎng)信息內(nèi)容安全事件的特征，綜合利用各采集器獲得的特征數(shù)據(jù)，信息量充足，融合所得出的判決結(jié)果最為貼近實(shí)際網(wǎng)絡(luò)狀態(tài)。

·可擴(kuò)展性強(qiáng)：隨著網(wǎng)絡(luò)的不斷發(fā)展，不良信息的傳播手段隨之增多。模型采用的分布式層次化結(jié)構(gòu)只需在原有基礎(chǔ)上，針對新的不良信息傳播手段，增設(shè)數(shù)據(jù)采集器及局部信息融合中心即可，升級方式簡單、易行。

4 仿真實(shí)驗(yàn)

4.1 仿真實(shí)驗(yàn)環(huán)境

當(dāng)前電信網(wǎng)信息內(nèi)容安全事件手段多樣，包括音頻、視頻類多媒體信息。為了驗(yàn)證模型的有效性，本文選取中國電信目前采用的、支持可視電話業(yè)務(wù)的IMS網(wǎng)絡(luò)作為測試模板。IMS網(wǎng)絡(luò)的核心協(xié)議為SIP。試驗(yàn)中的SIP終端用戶設(shè)置可利用網(wǎng)上開源的BOL SIP phone軟件實(shí)現(xiàn)，而SIP網(wǎng)絡(luò)中的重定向、媒體網(wǎng)關(guān)和服務(wù)器等功能則可以由單獨(dú)的設(shè)備實(shí)現(xiàn)，也可以與SIP代理集成在同一設(shè)備中實(shí)現(xiàn)，靈活性大，簡單易行?；诖?，本文選擇建立SIP網(wǎng)絡(luò)環(huán)境，對電信網(wǎng)態(tài)勢感知模型進(jìn)行仿真實(shí)驗(yàn)。

如圖5所示，騷擾方從受保護(hù)網(wǎng)絡(luò)左側(cè)向SIP網(wǎng)絡(luò)中的用戶發(fā)起攻擊，特征介紹如下：

·在預(yù)置的特定時(shí)間段內(nèi)，向受保護(hù)網(wǎng)絡(luò)中的某特定區(qū)域A/B/C中的用戶發(fā)起攻擊；

·用戶端接收到不良信息電話的掛機(jī)概率隨機(jī)確定；

·不良信息源向受保護(hù)網(wǎng)絡(luò)中用戶發(fā)送的通信信息具有重復(fù)性；

·不良信息源向受保護(hù)網(wǎng)絡(luò)中用戶發(fā)送某特定音頻內(nèi)容；

·不良信息源向受保護(hù)網(wǎng)絡(luò)中用戶發(fā)送某特定視頻內(nèi)容。

針對以上5個(gè)特征，分別進(jìn)行多次數(shù)據(jù)統(tǒng)計(jì)，作為D-S證據(jù)理論的初始概率分布。

4.2 仿真實(shí)驗(yàn)結(jié)果

實(shí)際網(wǎng)絡(luò)安全事件強(qiáng)度曲線如圖6所示，電信網(wǎng)態(tài)勢感知模型檢測的態(tài)勢曲線如圖7所示，將兩者進(jìn)行對比分析，可以看出：隨著安全事件強(qiáng)度的增大，對應(yīng)的網(wǎng)絡(luò)態(tài)勢感知值也隨之上升；當(dāng)安全事件強(qiáng)度變小時(shí)，網(wǎng)絡(luò)態(tài)勢評估值隨之降低，但網(wǎng)絡(luò)態(tài)勢感知值下降的斜率較安全事件強(qiáng)度下降的斜率小。這是因?yàn)?，在高層信息融合中，使用信度區(qū)間對網(wǎng)絡(luò)安全狀況進(jìn)行表述，使得落在區(qū)間內(nèi)的值都將產(chǎn)生不同程度的告警。這一點(diǎn)在實(shí)際網(wǎng)絡(luò)環(huán)境的應(yīng)用中具有重要意義，即當(dāng)某信息內(nèi)容安全事件在短時(shí)間內(nèi)再次發(fā)生時(shí)，網(wǎng)絡(luò)仍可保持一定的警戒度。

圖8為態(tài)勢感知模型預(yù)測結(jié)果與實(shí)際攻擊情況曲線的對比。可以看出，預(yù)測的結(jié)果是一條較平滑的曲線，與實(shí)際安全事件情況基本相符。

圖6 攻擊強(qiáng)度與時(shí)間的關(guān)系

圖7 網(wǎng)絡(luò)評估與時(shí)間的關(guān)系

圖8 網(wǎng)絡(luò)感知與實(shí)際情況的對比

實(shí)驗(yàn)結(jié)果表明，本文提出的電信網(wǎng)絡(luò)態(tài)勢感知模型能夠把握網(wǎng)絡(luò)安全態(tài)勢的總體變化趨勢，對網(wǎng)絡(luò)安全狀況做出及時(shí)感知，判定結(jié)果與實(shí)際情況接近，具有較高的準(zhǔn)確度[11～17]。

5 結(jié)束語

近年來，電信網(wǎng)絡(luò)的安全問題備受關(guān)注，態(tài)勢感知技術(shù)是其中的研究熱點(diǎn)。目前電信網(wǎng)的態(tài)勢感知技術(shù)僅針對攻擊類事件，而針對信息內(nèi)容安全事件態(tài)勢感知的研究尚屬空白。本文通過對電信網(wǎng)和信息內(nèi)容安全事件自身特點(diǎn)的分析，提出了態(tài)勢感知模型的設(shè)計(jì)方案。針對此模型采用的分層結(jié)構(gòu)的特點(diǎn)，采用了一種基于D-S理論的層次式信息融合近似算法，并在仿真環(huán)境中對該模型進(jìn)行了實(shí)驗(yàn)驗(yàn)證。仿真結(jié)果表明，該模型可以有效感知信息內(nèi)容安全事件。

該方案為維護(hù)電信網(wǎng)絡(luò)信息安全和用戶合法權(quán)益提供了技術(shù)支持。但本文目前提出的基于D-S證據(jù)理論的層次式融合算法并沒有考慮證據(jù)沖突的情況，雖然特征提取的針對性強(qiáng)，可以有效避免沖突證據(jù)的發(fā)生，但為保證算法的完整性，這點(diǎn)需要進(jìn)一步研究和改進(jìn)。同時(shí)，現(xiàn)有方案在仿真實(shí)驗(yàn)環(huán)境中可靠、有效，下一步將針對實(shí)際網(wǎng)絡(luò)的運(yùn)行環(huán)境進(jìn)行實(shí)驗(yàn)驗(yàn)證。

1 萬曉榆,樊自甫,宗曉飛.下一代網(wǎng)絡(luò)安全技術(shù).北京:人民郵電出版社,2007

2 中國標(biāo)準(zhǔn)化管理委員會(huì).信息安全事件分類分級指南.GB/Z 20986-2007，2007

3 中國電信集團(tuán)公司.中國電信網(wǎng)絡(luò)安全技術(shù)白皮書,2010

4 中國電信集團(tuán)公司.中國電信網(wǎng)絡(luò)安全技術(shù)白皮書,2011

5 楊肖.下一代電信網(wǎng)安全態(tài)勢評估系統(tǒng)設(shè)計(jì).北京郵電大學(xué)博士學(xué)位論文,2008

6 盧宇.下一代電信網(wǎng)風(fēng)險(xiǎn)分析系統(tǒng)的研究與實(shí)現(xiàn).北京郵電大學(xué)博士學(xué)位論文,2009

7 林帆.下一代網(wǎng)絡(luò)安全態(tài)勢評估系統(tǒng)中數(shù)據(jù)緩存子系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).北京郵電大學(xué)博士學(xué)位論文,2010

8 陳訓(xùn)遜,方濱興,胡銘曾等.一個(gè)網(wǎng)絡(luò)信息安全的新領(lǐng)域——網(wǎng)絡(luò)信息滲透檢測技術(shù).通信學(xué)報(bào),2004,25(7):185～191

9 冷宣兵,王平,張立.證據(jù)理論合成準(zhǔn)則的一種新算法及其驗(yàn)證.計(jì)算機(jī)仿真,2010,27(2):162～165

10 孫銳.基于D-S證據(jù)理論的信息融合及在可靠性數(shù)據(jù)處理中的應(yīng)用研究.電子科技大學(xué)博士學(xué)位論文,2011

11 彭敏.基于免疫的網(wǎng)絡(luò)入侵檢測與風(fēng)險(xiǎn)預(yù)測模型.計(jì)算機(jī)工程,2011,37(11):141～143

12 Holsopple J,Sudit M,Nusinov M,et al.Enhancing situation awareness via automated situation assessment.IEEE Communications Magazine,2010(1):146～152

13 Parvar H,Fesharaki M N,Moshiri B.Shared situation awareness system architecture for network centric environment decision making.Proceedings of Second International Conference on Computer and Network Technology,Bangkok,Thailand,2010:372～376

14 Nguyen-Thanh N,Koo I.Empirical distribution-based event detection in wireless sensor networks:an approach based on evidence theory.IEEE Sensor Journal,2012,12(6):2222～2228

15 Zhu L,Shi D,Duan X.Evidence theory-based fake measurement identification and fault-tolerant protection in digital substations.IET Generation,Transmission&Distribution,2011,5(1):119～126

16 Liao J,Bi Y X,Nugent C.Using the dempster-shafer theory of evidence with a revised lattice structure for activity recognition.IEEE Transactions on Information Technology in Biomedicine,2011,15(1):74～82

17 Li Y B,Wang N.Based on D-S evidence theory of information fusion improved method.Proceedings of 2010 International Conference on Computer Application and System Modeling,Taiyuan,China,2010:416～419