姜旭煒，文志誠(chéng)，鄧勇杰

（湖南工業(yè)大學(xué) 計(jì)算機(jī)與通信學(xué)院，湖南 株洲 412007）

基于粗糙集神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法

姜旭煒，文志誠(chéng)，鄧勇杰

（湖南工業(yè)大學(xué) 計(jì)算機(jī)與通信學(xué)院，湖南 株洲 412007）

為克服多源數(shù)據(jù)融合中存在信息高維、冗余和噪音等大量不確定性因素給網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估帶來(lái)的復(fù)雜影響，提出一種基于粗糙集神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法。該方法既利用粗糙集理論在機(jī)械學(xué)習(xí)、處理冗余信息和特征提取等方面的能力，又結(jié)合神經(jīng)網(wǎng)絡(luò)處理噪音和任意逼近能力構(gòu)造出由指標(biāo)層、離散層、規(guī)則層、決策層組成的態(tài)勢(shì)評(píng)估模型，并與BP神經(jīng)網(wǎng)絡(luò)方法進(jìn)行對(duì)比研究。仿真實(shí)驗(yàn)結(jié)果表明，所提方法偏差較少，更能客觀、準(zhǔn)確地分析網(wǎng)絡(luò)安全狀況。

粗糙集理論；粗糙集神經(jīng)網(wǎng)絡(luò)；態(tài)勢(shì)評(píng)估

1 背景知識(shí)

隨著信息技術(shù)的不斷發(fā)展，各種網(wǎng)絡(luò)應(yīng)用不斷普及，人們對(duì)網(wǎng)絡(luò)的信任度和依賴度不斷提高；與此同時(shí)，網(wǎng)絡(luò)安全問(wèn)題日益嚴(yán)峻，安全漏洞、病毒入侵和黑客（DoS/DDoS）攻擊等等網(wǎng)絡(luò)安全事故也隨之不斷地增加；加之，Internet規(guī)模不斷擴(kuò)大，其復(fù)雜性和不確定性也隨之增加，因此對(duì)于安全分析的難度不斷地加大。傳統(tǒng)的網(wǎng)絡(luò)防御設(shè)備和技術(shù)無(wú)法對(duì)現(xiàn)有的網(wǎng)絡(luò)安全狀況進(jìn)行有效、快捷地分析和防御。海量的網(wǎng)管信息非但不能更好地管理，反而增加了網(wǎng)絡(luò)管理員的負(fù)擔(dān)。在這種情況下，對(duì)網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)進(jìn)行態(tài)勢(shì)感知、分析，以及采取相應(yīng)的防御手段成為目前網(wǎng)絡(luò)安全研究的熱門(mén)話題。

態(tài)勢(shì)感知（situation awareness，SA）源自于航天飛行的人因研究，此后被廣泛地應(yīng)用于軍事戰(zhàn)場(chǎng)、核反應(yīng)控制系統(tǒng)、空中交通監(jiān)管以及醫(yī)療應(yīng)急調(diào)度等領(lǐng)域。1999年，T. Bass[1]首次提出了網(wǎng)絡(luò)態(tài)勢(shì)感知（cyberspace situation awareness，CSA）的概念，并指出“基于融合的網(wǎng)絡(luò)態(tài)勢(shì)感知”將成為網(wǎng)絡(luò)管理的發(fā)展方向。態(tài)勢(shì)強(qiáng)調(diào)環(huán)境、動(dòng)態(tài)性以及實(shí)體之間的聯(lián)系，是一種狀態(tài)、一種趨勢(shì)、一個(gè)整體和全局的概念，任何單一的情況或狀態(tài)都不能稱之為態(tài)勢(shì)。在實(shí)際網(wǎng)絡(luò)環(huán)境中，由于網(wǎng)絡(luò)的動(dòng)態(tài)性和復(fù)雜性，傳統(tǒng)的網(wǎng)絡(luò)分析方法不能解決網(wǎng)絡(luò)的實(shí)際問(wèn)題，因此態(tài)勢(shì)感知技術(shù)應(yīng)運(yùn)而生，決策者能夠利用態(tài)勢(shì)感知工具掌握全局變化規(guī)律，做出正確的決策。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知（network security situation awareness，NSSA）是指在現(xiàn)實(shí)的網(wǎng)絡(luò)環(huán)境中，在一定時(shí)間和空間內(nèi)，對(duì)能引起網(wǎng)絡(luò)安全態(tài)勢(shì)發(fā)生變化的外界因素進(jìn)行提取、評(píng)估和對(duì)未來(lái)的變化趨勢(shì)進(jìn)行預(yù)測(cè)。網(wǎng)絡(luò)安全態(tài)勢(shì)感知能實(shí)時(shí)地檢測(cè)網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)，綜合考慮各方面的影響因素，生成局部或全局的安全態(tài)勢(shì)圖，全面地動(dòng)態(tài)分析網(wǎng)絡(luò)安全狀況，為提高網(wǎng)絡(luò)安全性提供了可靠依據(jù)。

網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估是網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)中的核心與重點(diǎn)內(nèi)容。目前，國(guó)內(nèi)外提出了許多種關(guān)于網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估與感知方法，主要包括證據(jù)理論[2]、D-S理論（dempster-shafer）[3]、灰色系統(tǒng)理論、粗糙集理論（rough set theory）[4-5]、神經(jīng)網(wǎng)絡(luò)[6]、模糊邏輯[7]、熵理論[8]和專家系統(tǒng)等。然而在網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估中存在大量的不確定性、不完備的因素（如信息維數(shù)大，指標(biāo)冗余和噪音等）的影響，導(dǎo)致評(píng)估過(guò)程較為繁瑣，評(píng)估結(jié)果的誤差較大。運(yùn)用單獨(dú)的傳統(tǒng)網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估方法有很多，但是它們有2個(gè)共同的缺陷：1）在大規(guī)模網(wǎng)絡(luò)環(huán)境中，管理者面臨龐大且復(fù)雜的數(shù)據(jù)，影響因素較多，導(dǎo)致對(duì)態(tài)勢(shì)要素提取不全面，冗余數(shù)據(jù)過(guò)多及計(jì)算復(fù)雜度過(guò)大會(huì)導(dǎo)致維數(shù)爆炸；2）先驗(yàn)知識(shí)不足和態(tài)勢(shì)指標(biāo)過(guò)于龐大。

本文提出一種基于粗糙集神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法，本方法以粗糙集和人工神經(jīng)網(wǎng)絡(luò)在數(shù)據(jù)融合方面為基礎(chǔ)[9-10]，利用粗糙集理論的屬性約簡(jiǎn)能力對(duì)攻擊要素進(jìn)行屬性約簡(jiǎn)，求出最簡(jiǎn)指標(biāo)規(guī)則來(lái)確定隱含層的數(shù)目，構(gòu)造出由指標(biāo)層、離散層、規(guī)則層（前件與后件）、決策層組成的神經(jīng)網(wǎng)絡(luò)評(píng)估模型。此方法是在保持整個(gè)網(wǎng)絡(luò)處理能力的前提下，通過(guò)粗糙集理論處理冗余信息，遴選態(tài)勢(shì)因子，精簡(jiǎn)評(píng)估規(guī)則集，從而優(yōu)化神經(jīng)網(wǎng)絡(luò)中隱含神經(jīng)元、精簡(jiǎn)神經(jīng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，減少冗余節(jié)點(diǎn)，提高神經(jīng)網(wǎng)絡(luò)的泛化能力。在對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行綜合評(píng)估中，減少大量不可靠主觀因素的影響，幫助網(wǎng)管人員更好地了解網(wǎng)絡(luò)安全狀況。

2 粗糙集理論

粗糙集理論（rough set theory）是由波蘭數(shù)學(xué)家Z. Pawlak教授提出的一種新型處理模糊和不確定性知識(shí)的數(shù)學(xué)工具[11]，其主要思想是以不可分辨關(guān)系為基礎(chǔ)，通過(guò)引入上近似集和下近似集來(lái)描述一個(gè)集合；其在保持信息系統(tǒng)分類能力不變的前提下，進(jìn)行知識(shí)約簡(jiǎn)，最終導(dǎo)出問(wèn)題分類的決策或分類規(guī)則。

粗糙集理論相比其他處理不精確問(wèn)題的理論有著明顯的優(yōu)勢(shì)，主要表現(xiàn)在沒(méi)有任何數(shù)據(jù)集合之外的先驗(yàn)信息條件下，粗糙集能夠比較客觀地處理不精確問(wèn)題，從海量歷史數(shù)據(jù)信息中發(fā)現(xiàn)隱含知識(shí)，揭示潛在規(guī)律。但粗糙集理論不包含處理原始數(shù)據(jù)的機(jī)制，通常需要采用其他互補(bǔ)性的理論與之結(jié)合才能達(dá)到理想的效果，如神經(jīng)網(wǎng)絡(luò)、模糊數(shù)學(xué)等。

2.1 基本概念

設(shè)s=(U, R, V, f)為一個(gè)知識(shí)表達(dá)系統(tǒng)，其中：論域U={x1, x2, x3, ... , xn}為非空有限集合；R為非空屬性集合，R包括條件屬性C和結(jié)果屬性D，即CD=R；V為屬性a R的值域；f ：U×R→V為一個(gè)單射信息函數(shù)，指定論域中任一個(gè)元素的屬性值。

2.2 屬性約簡(jiǎn)

在一個(gè)知識(shí)表達(dá)系統(tǒng)s=( U, A, V, f )中，根據(jù)定義1，若且IND(P-{a})=IND(P)，則表示在P中屬性a是不必要的，否則表示在P中a是必要的。若都是必要的，則表示P獨(dú)立，否則表示P是依賴的。

求取約簡(jiǎn)屬性需要滿足以下條件：

設(shè)Q P，若Q是獨(dú)立的且IND(Q)=IND(P)，則表示Q是P的一個(gè)約簡(jiǎn)，稱為RED(P)，在實(shí)際情況下，存在多個(gè)約簡(jiǎn)，所有約簡(jiǎn)的交集構(gòu)成的核，記作CORE(P)=RED(P)。

3 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指標(biāo)的處理

3.1 指標(biāo)體系

在網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估中，評(píng)價(jià)指標(biāo)體系的擇取是評(píng)價(jià)研究的關(guān)鍵，它會(huì)直接影響整個(gè)評(píng)價(jià)結(jié)果的精度；評(píng)價(jià)指標(biāo)體系應(yīng)盡可能地反映網(wǎng)絡(luò)安全態(tài)勢(shì)的基本特征及基本狀況。本文將網(wǎng)絡(luò)安全態(tài)勢(shì)指標(biāo)劃分為4個(gè)獨(dú)立的一級(jí)指標(biāo)：脆弱性、容災(zāi)性、威脅性和穩(wěn)定性。每個(gè)一級(jí)指標(biāo)又包含若干個(gè)二級(jí)指標(biāo)，具體如下：

1）與脆弱性有關(guān)的二級(jí)指標(biāo)。有漏洞數(shù)目、安全設(shè)備數(shù)目、網(wǎng)絡(luò)拓?fù)洹㈥P(guān)鍵設(shè)備的服務(wù)種類及開(kāi)放端口數(shù)目等；

2）與容災(zāi)性有關(guān)的二級(jí)指標(biāo)。有帶寬、安全設(shè)備數(shù)目、子網(wǎng)內(nèi)只要服務(wù)器支持的并發(fā)線程數(shù)、關(guān)鍵設(shè)備訪問(wèn)主流安全網(wǎng)絡(luò)的頻率等；

3）與威脅性有關(guān)的二級(jí)指標(biāo)。有報(bào)警數(shù)目、帶寬使用率、安全事件歷史發(fā)生率、數(shù)據(jù)流入量、IP分布等；

4）與穩(wěn)定性有關(guān)的二級(jí)指標(biāo)。有關(guān)鍵設(shè)備平均存活時(shí)間、子網(wǎng)流量變化率、子網(wǎng)平均無(wú)故障時(shí)間、子網(wǎng)內(nèi)存活關(guān)鍵設(shè)備數(shù)目等。

3.2 態(tài)勢(shì)因子的篩選

在實(shí)際的大規(guī)模網(wǎng)絡(luò)環(huán)境下，由于網(wǎng)絡(luò)的巨型性、復(fù)雜性，在網(wǎng)絡(luò)安全態(tài)勢(shì)感知過(guò)程中，存在著眾多的相互沖突、不完備、非確定的復(fù)雜觀測(cè)指標(biāo)，有些指標(biāo)對(duì)態(tài)勢(shì)感知起著關(guān)鍵性的作用，有些指標(biāo)對(duì)態(tài)勢(shì)感知的影響卻十分微弱，指標(biāo)之間也可能存在冗余。因此，態(tài)勢(shì)指標(biāo)的篩選直接影響到態(tài)勢(shì)感知的效果和效率。

如何既能保持網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指標(biāo)的全面性與代表性，又能保證指標(biāo)體系的精簡(jiǎn)，成為構(gòu)建評(píng)估指標(biāo)體系的關(guān)鍵問(wèn)題。粗糙集理論是一種數(shù)據(jù)分析理論，能夠有效地利用屬性重要度量對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)因子進(jìn)行遴選[12]。

利用粗糙集理論中重要性定義，根據(jù)定義4和定義6計(jì)算出態(tài)勢(shì)因子對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的重要性：

把態(tài)勢(shì)因子作為決策信息表的條件屬性，刪除冗余和不重要的指標(biāo)，從而優(yōu)化網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指標(biāo)。

4 基于粗糙集神經(jīng)網(wǎng)絡(luò)的評(píng)估模型

4.1 數(shù)據(jù)的預(yù)處理

有限離散化數(shù)據(jù)是粗糙集分析的基礎(chǔ)，而在工程領(lǐng)域中原始數(shù)據(jù)包含了大量的連續(xù)數(shù)據(jù)。因此，在利用粗糙集約簡(jiǎn)之前，必須先對(duì)數(shù)據(jù)進(jìn)行離散歸一化處理，其目的是為了盡可能減少海量數(shù)據(jù)中有用信息的丟失，同時(shí)降低系統(tǒng)空間維數(shù)，減少指標(biāo)的種類。目前主要采用的離散方法有等區(qū)間劃分法、S法、L法、等頻率劃分發(fā)等，但不管是哪種離散方法，都必須保證離散后數(shù)據(jù)的維數(shù)盡可能少、每個(gè)屬性盡可能少地?fù)碛袑傩灾档姆N類和盡量減少數(shù)據(jù)信息的丟失。本文采用了ROSETTA[13]中的Boolean Reasoning算法和Equal Frequency Binning 算法進(jìn)行離散化。

4.2 規(guī)則提取

在整個(gè)知識(shí)表達(dá)系統(tǒng)中，并非所有屬性是同等重要的，有大量的屬性可能存在冗余，因此進(jìn)行屬性的約簡(jiǎn)至關(guān)重要。然而條件屬性C的最小約簡(jiǎn)屬性并非只有一個(gè)，可能存在多個(gè)屬性集，而要求取最小屬性集已證明是一個(gè)NP問(wèn)題；在實(shí)際的工程領(lǐng)域中，只需要求解出具有實(shí)際用途的最小約簡(jiǎn)屬性集即可；規(guī)則過(guò)多或過(guò)少直接影響到神經(jīng)網(wǎng)絡(luò)評(píng)估結(jié)果的精確性。

本文選取文獻(xiàn)[13]中基于粗糙集理論框架的表格邏輯數(shù)據(jù)分析工具包ROSETTA來(lái)得到最簡(jiǎn)規(guī)則，其決策規(guī)則提取步驟如下：

1）數(shù)據(jù)補(bǔ)齊。由于入侵監(jiān)測(cè)數(shù)據(jù)中可能存在大量的不完整或損壞的數(shù)據(jù)，需要進(jìn)行不完整數(shù)據(jù)的移除。通過(guò)利用ROSETTA自身的移除不完整數(shù)據(jù)功能模塊對(duì)數(shù)據(jù)進(jìn)行整理。

2）數(shù)據(jù)的離散化。由于粗糙集理論存在只能處理離散化數(shù)據(jù)的局限性，而實(shí)際大網(wǎng)絡(luò)環(huán)境下的監(jiān)測(cè)數(shù)據(jù)大多屬于數(shù)值型數(shù)據(jù)，因此需要使用ROSETTA中的Boolean Reasoning 算法和Equal Frequency Binning 算法合理充分地對(duì)監(jiān)測(cè)數(shù)據(jù)進(jìn)行離散化處理。

3）屬性約簡(jiǎn)。在原始數(shù)據(jù)中可能存在著大量的冗余屬性，它們對(duì)評(píng)估結(jié)果起著微乎其微的作用。通過(guò)ROSETTA中遺傳算法對(duì)條件屬性進(jìn)行約簡(jiǎn)，以剔除不必要的屬性，減少數(shù)據(jù)的采集。

4）規(guī)則生成。在步驟3）的基礎(chǔ)上，利用等價(jià)關(guān)系形成規(guī)則。但由于約簡(jiǎn)結(jié)果不是唯一的，產(chǎn)生的規(guī)則也是多個(gè)屬性對(duì)應(yīng)的簡(jiǎn)化規(guī)則。

5）規(guī)則約簡(jiǎn)。對(duì)約簡(jiǎn)決策表所得到的簡(jiǎn)化規(guī)則中每一條條件屬性不一定都是必要的，因此需要屬性約簡(jiǎn)來(lái)簡(jiǎn)化規(guī)則中不必要的條件屬性值，從而得到最簡(jiǎn)規(guī)則集。

4.3 評(píng)估模型

基于粗糙集神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法的主要思想是：第一，對(duì)收集的入侵檢測(cè)數(shù)據(jù)進(jìn)行預(yù)處理，獲取有用的數(shù)據(jù)集，從而得到原始信息決策表。第二，對(duì)原始數(shù)據(jù)集進(jìn)行離散化處理和歸一化處理，并將原始數(shù)據(jù)分為2組，一組為訓(xùn)練樣本數(shù)據(jù)，另一組為測(cè)試樣本數(shù)據(jù)。第三，利用粗糙集理論的屬性約簡(jiǎn)能力得到擁有完備原始樣本特征的最小決策規(guī)則集，從而利用最簡(jiǎn)指標(biāo)規(guī)則來(lái)確定神經(jīng)網(wǎng)絡(luò)的規(guī)則層數(shù)。第四，通過(guò)訓(xùn)練數(shù)據(jù)對(duì)粗糙集神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練，獲得最小規(guī)則集對(duì)應(yīng)的各項(xiàng)評(píng)估指標(biāo)數(shù)，優(yōu)化評(píng)估系統(tǒng)的輸入結(jié)點(diǎn)數(shù)；最后，確定評(píng)估模型的網(wǎng)絡(luò)結(jié)構(gòu)、相關(guān)隸屬度函數(shù)以及輸入輸出推理規(guī)則，并將測(cè)試樣本數(shù)據(jù)輸入評(píng)估系統(tǒng)，經(jīng)過(guò)粗糙集和專業(yè)知識(shí)組成的規(guī)則推理確定當(dāng)前網(wǎng)絡(luò)安全運(yùn)行狀況。

粗糙集神經(jīng)網(wǎng)絡(luò)評(píng)估模型可以理解成基于神經(jīng)網(wǎng)絡(luò)的粗糙集推理系統(tǒng)。本文采用粗糙集模糊神經(jīng)網(wǎng)絡(luò)設(shè)計(jì)[14-16]，根據(jù)4.2節(jié)中提取的最簡(jiǎn)指標(biāo)規(guī)則確定的神經(jīng)網(wǎng)絡(luò)來(lái)確定人工神經(jīng)網(wǎng)絡(luò)的隱含層層數(shù)和隱含層節(jié)點(diǎn)數(shù)目。設(shè)粗糙集神經(jīng)網(wǎng)絡(luò)的各神經(jīng)元的連接權(quán)值、輸入和輸出分別表示為：，其中i為層標(biāo)，j為層參數(shù)。其模型如圖1。

圖1 粗糙集神經(jīng)網(wǎng)絡(luò)評(píng)估模型Fig. 1 The rough set neural network evaluation model

第1層是輸入層（或稱為指標(biāo)層），表示為網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估系統(tǒng)的輸入變量X={x1, x2, …, xi}T，xi(i=1, 2, …, n) ，即干擾網(wǎng)絡(luò)安全性能的指標(biāo)；結(jié)點(diǎn)個(gè)數(shù)是決策信息表中核屬性的個(gè)數(shù)；該層神經(jīng)元的連接權(quán)值為，其

第2層是離散化層，分別將n個(gè)輸入量x1, x2, …, xn依照粗糙集理論的某種不可分辨關(guān)系進(jìn)行等區(qū)間劃分，將輸入數(shù)據(jù)xi離散為ri個(gè)取值為[0, 1]的不同值，該結(jié)點(diǎn)數(shù)為離散屬性值的個(gè)數(shù)。本文把高斯函數(shù)作為隸屬度函數(shù)，該結(jié)點(diǎn)的連接權(quán)值，輸入為輸出為：

式中：cij，分別是變量xj離散化到ri(j=1, 2, …, ri)檔的平均值和方差；

cij,分別為隸屬度函數(shù)的中心和帶寬；

1≤i≤N，1≤j≤J。

第3層是規(guī)則前件層，規(guī)則層依照粗糙集理論的規(guī)則約簡(jiǎn)能力進(jìn)行規(guī)則提取，規(guī)則層神經(jīng)元與第2, 4層神經(jīng)元相連接，該神經(jīng)元由前件和后件組成。該層是由第3層與第2層連接表示1條復(fù)雜的規(guī)則前件，每1個(gè)結(jié)點(diǎn)代表1條規(guī)則，且該層的結(jié)點(diǎn)數(shù)是最簡(jiǎn)決策表中規(guī)則的個(gè)數(shù)，構(gòu)建一個(gè)不完全連接神經(jīng)元，其連接權(quán)值為1。該結(jié)點(diǎn)層輸出為規(guī)則適應(yīng)度Tk：

第4層是規(guī)則后件層，該層由第3層與第4層中若干個(gè)神經(jīng)元相連接。該規(guī)則層的結(jié)點(diǎn)數(shù)是最簡(jiǎn)決策表中決策屬性的數(shù)目；由于最小決策指標(biāo)有若干個(gè)，單獨(dú)的決策指標(biāo)不能很好地反映當(dāng)前的網(wǎng)絡(luò)安全狀況，需要綜合考慮決策指標(biāo)。則歸一化處理后，每個(gè)神經(jīng)元的輸入、輸出為：

第5層是決策層，表示網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的綜合評(píng)估值，該神經(jīng)元的結(jié)點(diǎn)數(shù)為1，神經(jīng)元的輸入、輸出為：

4.4 參數(shù)的調(diào)整

本文利用BP算法[17]的空間搜索能力，逐步迭代，更新評(píng)估模型中第4～5層的連接權(quán)值，隸屬度函數(shù)的中心和帶寬，從而縮短學(xué)習(xí)訓(xùn)練時(shí)間。通過(guò)BP算法反復(fù)修正網(wǎng)絡(luò)權(quán)值，從而得到期望的評(píng)估結(jié)果。定義其誤差代價(jià)函數(shù)為：

式中：R代表學(xué)習(xí)樣本數(shù)；

Y代表系統(tǒng)期望輸出值；

y代表網(wǎng)絡(luò)實(shí)際輸出值。

則有

參數(shù)調(diào)整步驟如下：

1）網(wǎng)絡(luò)系數(shù)初始化。

2）輸入已知學(xué)習(xí)樣本，通過(guò)梯度下降BP算法迭代設(shè)計(jì)粗糙集神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)（包括各層神經(jīng)元的連接權(quán)值，隸屬度函數(shù)的中心cij和帶寬），從而計(jì)算各層的神經(jīng)元輸出。

3）調(diào)整各參數(shù)，并從最后一層反向計(jì)算各權(quán)值的總誤差影響，進(jìn)一步對(duì)網(wǎng)絡(luò)結(jié)構(gòu)各連接權(quán)值及參數(shù)進(jìn)行修改。

4）重復(fù)步驟2）～3），直到整個(gè)粗糙集神經(jīng)網(wǎng)絡(luò)收斂為止。其中第4，5層的連接權(quán)值為：

隸屬度函數(shù)的中心cij為:

以上各式中 ＞0，為學(xué)習(xí)率。

5 實(shí)驗(yàn)分析

5.1 實(shí)驗(yàn)數(shù)據(jù)

為了測(cè)驗(yàn)本文所提出的基于粗糙集神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法的合理性與正確性，筆者借用Matlab 7.0來(lái)進(jìn)行仿真實(shí)驗(yàn)；以DARPA1999入侵檢測(cè)數(shù)據(jù)集為基礎(chǔ)，取監(jiān)控?cái)?shù)據(jù)100個(gè)樣本作為實(shí)驗(yàn)數(shù)據(jù)。首先對(duì)原始數(shù)據(jù)進(jìn)行歸一化處理，其歸一化公式為，處理之后得到[0,1]的值；然后把100個(gè)實(shí)驗(yàn)數(shù)據(jù)分為90個(gè)訓(xùn)練樣本集和10個(gè)測(cè)試樣本集，進(jìn)行本次的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估實(shí)驗(yàn)。

5.2 評(píng)估結(jié)果分析

由于考慮到文章篇幅問(wèn)題，本文以威脅性指標(biāo)為例，運(yùn)用文獻(xiàn)[6]提供的基于BP神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法和本文基于粗糙集神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法進(jìn)行對(duì)比研究，分析粗糙集神經(jīng)網(wǎng)絡(luò)方法的優(yōu)越性。

1）經(jīng)過(guò)粗糙集理論的分析，分別篩選出9條二級(jí)指標(biāo)：a表示報(bào)警數(shù)目；b表示帶寬使用率；c表示安全事件發(fā)生率；d表示關(guān)鍵設(shè)備的服務(wù)分布；e表示數(shù)據(jù)流入量；f表示流入量的增長(zhǎng)率；g表示不同協(xié)議數(shù)據(jù)包的分布；h表示不同大小數(shù)據(jù)包的分布；j表示流入網(wǎng)絡(luò)數(shù)據(jù)包源IP分布。

設(shè)決策信息表中的條件屬性為態(tài)勢(shì)指標(biāo)；決策屬性分為：1表示高；2表示中；3表示低。經(jīng)過(guò)粗糙集理論的約簡(jiǎn)和求核，得到表1所示最簡(jiǎn)決策信息表。

表1 最簡(jiǎn)決策信息表Table 1 The simplest decision information table

從而確定粗糙集神經(jīng)網(wǎng)絡(luò)的輸入點(diǎn)為9個(gè)，離散層結(jié)點(diǎn)為27個(gè)，規(guī)則前件結(jié)點(diǎn)為10個(gè)，規(guī)則后件結(jié)點(diǎn)為3個(gè)，輸出結(jié)點(diǎn)為1個(gè)，從而構(gòu)建好粗糙集神經(jīng)網(wǎng)絡(luò)評(píng)估模型。通過(guò)Matlab 7.0的仿真實(shí)驗(yàn)，得到如表2所示測(cè)試樣本的實(shí)際輸出和期望輸出的比較結(jié)果。

表2 粗糙集神經(jīng)評(píng)估結(jié)果Table 2 Rough set neural assessment results

2）根據(jù)文獻(xiàn)[6]中提供的基于BP神經(jīng)網(wǎng)絡(luò)評(píng)估方法對(duì)本文提供的檢測(cè)數(shù)據(jù)進(jìn)行評(píng)估，該神經(jīng)網(wǎng)絡(luò)由9個(gè)輸入結(jié)點(diǎn)、4個(gè)隱層結(jié)點(diǎn)、1個(gè)輸出結(jié)點(diǎn)組成，其評(píng)估結(jié)果如表3所示。

表3 BP神經(jīng)網(wǎng)絡(luò)評(píng)估結(jié)果Table 3 BP neural network evaluation results

對(duì)比表2和表3所示實(shí)驗(yàn)結(jié)果可知，基于粗糙集神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法比BP神經(jīng)網(wǎng)絡(luò)方法更加明顯，而且采用粗糙集神經(jīng)網(wǎng)絡(luò)進(jìn)行評(píng)估，使得測(cè)試樣本的相對(duì)誤差＜2.50%，明顯比BP神經(jīng)網(wǎng)絡(luò)評(píng)估方法的相對(duì)誤差＜9.59%要小，其主要在于運(yùn)用粗糙集理論對(duì)評(píng)估指標(biāo)和數(shù)據(jù)的冗余，高維處理，而且粗糙集神經(jīng)網(wǎng)絡(luò)的隱含層結(jié)點(diǎn)數(shù)客觀性高，從而大大減少了不利因素對(duì)評(píng)估的影響。

綜上所述：以粗糙集神經(jīng)網(wǎng)絡(luò)為基礎(chǔ)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型與專家期望結(jié)果非常接近，完全可以適應(yīng)網(wǎng)絡(luò)安全態(tài)勢(shì)的綜合評(píng)估。

6 結(jié)語(yǔ)

本文構(gòu)建的基于粗糙集神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型，綜合了粗糙集理論在處理不完備、不精確知識(shí)的能力和神經(jīng)網(wǎng)絡(luò)在數(shù)值上任意逼近的特點(diǎn)，既減少了冗余信息和噪音數(shù)據(jù)的不利影響、約簡(jiǎn)了網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指標(biāo)、避免了因先驗(yàn)知識(shí)不足而產(chǎn)生的誤差，又減少了粗糙集神經(jīng)元的輸入層結(jié)點(diǎn)數(shù)和隱含規(guī)則層結(jié)點(diǎn)數(shù)，從而優(yōu)化了粗糙集神經(jīng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，縮短了態(tài)勢(shì)評(píng)估的時(shí)間，同時(shí)也提高了模型的正確率。為今后的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估工作提供了一種可行的方法。

但粗糙集理論中約簡(jiǎn)求核[18-19]是一個(gè)NP難題，能否求解出符合實(shí)際用途的最簡(jiǎn)決策規(guī)則直接影響到評(píng)估精度，此問(wèn)題還需要今后的進(jìn)一步研究。

[1]Bass T. Intrusion Detection Systems and Multisensor Data Fusion：Creating Cyberspace Situational Awareness[J]. Communications of the ACM，2000，43(4)：99-105.

[2]Digioia G，F(xiàn)oglietta C，Oliva G，et al. Aware Online Interdependency Modeling via Evidence Theory[J]. International Journal of Critical Infrastructures，2013，9 (1)：74-92.

[3]劉效武，王慧強(qiáng)，呂宏武，等. 基于融合的網(wǎng)絡(luò)安全量化感知[J]. 吉林大學(xué)學(xué)報(bào)：工學(xué)版，2013，43(6)：1650-1657. Liu Xiaowu，Wang Huiqiang，Yu Hongwu，et al. Quantitative Awareness of Network Security Situation Based on Fusion[J]. Journal of Jilin University：Engineering and Technology Edition，2013，43(6)：1650-1657

[4]Huang C C，Tseng T L B，F(xiàn)an Y N，et al. Alternative Rule Induction Methods Based on Incremental Object Using Rough Set Theory[J]. Applied Soft Computing，2013，13 (1)：372-389.

[5]Jan G B，Bazan-Socha S，Buregwa-Czuma S，et al. Classifiers Based on Data Sets and Domain Knowledge：A Rough Set Approach[J]. Intelligent Systems Reference Library，2013，43(2)：93-136.

[6]謝麗霞，王亞超，于巾博. 基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知[J]. 清華大學(xué)學(xué)報(bào)：自然科學(xué)版，2013，53(12)，1750-1760. Xie Lixia，Wang Yachao，Yu Jinbo. Network Security Situation Awareness Based on Neural Networks[J]. Journal of Tsinghua University：Natural Science Edition，2013，53(12)：1750-1760.

[7]王 宏，龔正虎. 一種基于信息熵的關(guān)鍵流量矩陣發(fā)現(xiàn)算法[J]. 軟件學(xué)報(bào)，2009，20(5)：1377-1383. Wang Hong，Gong Zhenghu. Algorithm Based on Entropy for Finding Critical Traffic Matrices[J]. Journal of Software，2009，20(5)：1377-1383.

[8]卓 瑩，龔春葉，龔正虎. 網(wǎng)絡(luò)傳輸態(tài)勢(shì)感知的研究與實(shí)現(xiàn)[J]. 通信學(xué)報(bào)，2010，31(9)：54-63. Zhuo Ying，Gong Chunye，Gong Zhenghu. Research and Implementation of Network Transmission Situation Awareness[J]. Journal on Communications，2010，31(9)：54-63.

[9]王 剛，張志禹. 粗糙集結(jié)合BP神經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)融合方法研究[J]. 西安理工大學(xué)學(xué)報(bào)，2006，22(3)，311-314. Wang Gang，Zhang Zhiyu. Rough Set Method Combined with BP Neural Network Data Fusion[J]. Journal of Xi’an University of Technology，2006，22(3)，311-314.

[10]蓋偉麟，辛 丹，王 璐，等. 態(tài)勢(shì)感知中的數(shù)據(jù)融合和決策方法綜述[J]. 計(jì)算機(jī)工程，2014，40(5)，21-26. Gai Weilin，Xin Dan，Wang Lu，et al. Data Fusion and Decision Methods of Situation Awareness[J]. Computer Engineering，2014，40(5)，21-26.

[11]Pawlak Z. Rough Sets and Intelligent Data Analysis[J]. Information Sciences，2002，147(1)：1-12.

[12]卓 瑩，何 明，龔正虎. 網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估的粗糙集分析模型[J]. 計(jì)算機(jī)工程與科學(xué)，2012，34(3)，1-5. Zhuo Ying，He Ming，Gong Zhenghu. The Rough Set Model of Network Situation Assessment[J]. Computer Engineering and Science，2012，34(3)，1-5.

[13]Kaufmann K W，Lemmon G H，De Luca S L，et al. Practically Userful：What the ROSETTA Protein Modeling Suite Can Do for You[J]. Biochemistry，2010，49(14)：2987-2998.

[14]鞏 徽，馮 欣. 一種粗集模糊神經(jīng)網(wǎng)絡(luò)模型的研究及應(yīng)用[J]. 計(jì)算機(jī)工程與科學(xué)，2010，32(6)：132-134. Gong Hui，F(xiàn)eng Xin. Research and Application of a Kind of Rough Fuzzy Neural Network Model[J]. Computer Engineering and Science，2010，32(6)：132-134.

[15]李千目，戚 湧，張 宏，等. 基于粗糙集神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)故障診斷新方法[J]. 計(jì)算機(jī)研究與發(fā)展，2004，41 (10)，1696-1702. Li Qianmu，Qi Yong，Zhang Hong，et al. A New Network Fault Diagnosis Method Based on RS-Neural Network[J]. Journal of Computer Research and Development，2004，41(10)，1696-1702.

[16]郝麗娜，王 偉，吳光宇，等. 粗糙集-神經(jīng)網(wǎng)絡(luò)故障診斷方法研究[J]. 東北大學(xué)學(xué)報(bào)：自然科學(xué)版，2003，24 (3)：252-255. Hao Li’na，Wang Wei，Wu Guangyu，et al. Research on Rough Set-Neural Network Fault Diagnosis Method[J]. Journal of North Eastern University：Natural Science，2003，24(3)：252-255.

[18]徐 權(quán)，倪世宏，張 鵬. 基于粗糙集的專家系統(tǒng)知識(shí)庫(kù)約簡(jiǎn)研究[J]. 計(jì)算機(jī)測(cè)量與控制，2012，20(5)：1333-1335. Xu Quan，Ni Shihong，Zhang Peng. A Research on Knowledge Base Reduction of Expert System Based on Rough Set[J]. Computer Measurement & Control，2012，20(5)：1333-1335.

[19]王 楊，閆德勤，張鳳梅. 基于粗糙集和決策樹(shù)的增量式規(guī)則約簡(jiǎn)算法[J]. 計(jì)算機(jī)工程與應(yīng)用，2007，43(1)：170-172. Wang Yang，Yan Deqin，Zhang Fengmei. Rough Set and Decision Tree Based Incremental Rule Reduction Algorithm [J]. Computer Engineering and Application，2007，43(1)：170-172.

[17]周開(kāi)利，康耀紅. 神經(jīng)網(wǎng)絡(luò)模型及其MATLAB仿真程序設(shè)計(jì)[M]. 北京：清華大學(xué)出版社，2005：1-254. Zhou Kaili，Kang Yaohong. Neural Network Model and MATLAB Simulation Programming[M]. Beijing：Tsinghua University Press，2005：1-254.

（責(zé)任編輯：申 劍）

Network Security Situation Evaluation Based on Rough Set and Neural Network

Jiang Xuwei，Wen Zhicheng，Deng Yongjie
（School of Computer and Communication，Hunan University of Technology，Zhuzhou Hunan 412007，China）

In order to overcome the complex influences of uncertain factors of information high dimension, redundancy and noise etc. in the multi-source data fusion on the network security situation evaluation, presents a network security situation assessment method based on rough set and neural network. This method uses rough set theory capabilities in machine learning, redundant information processing and feature extraction and combines with the neural network ability of dealing with noise and arbitrary approximation to construct the situation assessing model composed of index layer, discrete layer, rule layer and decision layer, and compares and studies it with BP neural network method. The simulation experiment shows that the method has less deviation and can analyze network security situation more objectively and accurately.

rough set theory；rough set and neural network；situation assessment

TP393

A

1673-9833(2015)03-0076-07

10.3969/j.issn.1673-9833.2015.03.015

2015-03-19

姜旭煒（1988-），男，湖南武岡人，湖南工業(yè)大學(xué)碩士生，主要研究方向?yàn)榫W(wǎng)絡(luò)安全態(tài)勢(shì)感知，E-mail：402342284@qq.com

文志誠(chéng)（1972-），男，湖南東安人，湖南工業(yè)大學(xué)副教授，博士，主要從事軟件工程與網(wǎng)絡(luò)安全方面的教學(xué)與研究，E-mail：zcwen@mail.shu.edu.cn