李 莉,宋 嵩,李冰珂

(東北林業(yè)大學(xué) 信息與計(jì)算機(jī)工程學(xué)院,哈爾濱 150040)

0 概述

近年來，網(wǎng)絡(luò)安全事件頻發(fā)對(duì)各行業(yè)的信息基礎(chǔ)設(shè)施造成了許多負(fù)面影響。因此，從大量數(shù)據(jù)中辨識(shí)出網(wǎng)絡(luò)中的攻擊活動(dòng)，并對(duì)攻擊行為意圖進(jìn)行理解和預(yù)測(cè)，從宏觀角度對(duì)整個(gè)網(wǎng)絡(luò)的安全狀況進(jìn)行把控并及時(shí)提出應(yīng)對(duì)舉措，成為網(wǎng)絡(luò)安全管理人員的首要任務(wù)。在此背景下，網(wǎng)絡(luò)態(tài)勢(shì)感知技術(shù)(Network Security Situation Awareness，NSSA)應(yīng)運(yùn)而生[1]。

NSSA的主要作用是在動(dòng)態(tài)網(wǎng)絡(luò)環(huán)境中，對(duì)網(wǎng)絡(luò)安全體系各部分的安全狀況和安全特征進(jìn)行綜合評(píng)估。在此過程中，對(duì)各類有效的安全數(shù)據(jù)和信息進(jìn)行組織[2-3]，以呈現(xiàn)出整體的安全狀態(tài)，從而提高網(wǎng)絡(luò)安全管理人員對(duì)整個(gè)安全體系的宏觀把控能力，為決策人提供有力支持[4]。NSSA是一種認(rèn)知過程[5]，可分為安全態(tài)勢(shì)覺察、安全態(tài)勢(shì)理解和安全態(tài)勢(shì)投射3個(gè)任務(wù)。安全態(tài)勢(shì)覺察包括數(shù)據(jù)預(yù)處理、關(guān)聯(lián)分析和結(jié)果呈現(xiàn)3個(gè)子任務(wù)，網(wǎng)絡(luò)安全態(tài)勢(shì)理解主要包括攻擊目的理解和攻擊行為預(yù)測(cè)的功能，而網(wǎng)絡(luò)安全態(tài)勢(shì)投射可分為投射準(zhǔn)備、風(fēng)險(xiǎn)評(píng)估及態(tài)勢(shì)投射結(jié)果獲取，其中，風(fēng)險(xiǎn)評(píng)估是安全態(tài)勢(shì)感知技術(shù)的核心。

經(jīng)過多年的發(fā)展，研究人員不斷將新理論引入安全態(tài)勢(shì)評(píng)估領(lǐng)域，并對(duì)傳統(tǒng)方法進(jìn)行改進(jìn)。在諸多理論中，網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法按照其特性可分為統(tǒng)計(jì)分析法、基于知識(shí)推理的方法和灰度理論法。統(tǒng)計(jì)分析法被首先應(yīng)用于態(tài)勢(shì)評(píng)估領(lǐng)域，但在其數(shù)學(xué)模型中，核心的評(píng)價(jià)函數(shù)構(gòu)造和參數(shù)選擇需要該領(lǐng)域?qū)＜疫M(jìn)行詳細(xì)評(píng)估，因此，評(píng)估結(jié)果會(huì)受專家個(gè)人觀點(diǎn)和意見的影響?；谥R(shí)推理的方法面臨的挑戰(zhàn)在于難以獲取推理規(guī)則和先驗(yàn)概率等知識(shí)?；叶壤碚摲ㄔ趹B(tài)勢(shì)評(píng)估上雖具有客觀性等特點(diǎn)，但其計(jì)算量巨大，無法在大型網(wǎng)絡(luò)環(huán)境下滿足用戶的需求。

針對(duì)上述問題，本文在網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估中提出一種告警選擇方法。利用用戶偏好評(píng)估安全檢測(cè)系統(tǒng)中產(chǎn)生的告警，同時(shí)結(jié)合告警處理的時(shí)間成本進(jìn)行綜合分析，完成告警處理優(yōu)先級(jí)選擇，以提高用戶的滿意度。

1 相關(guān)工作

態(tài)勢(shì)感知[7]最早來源于軍事研究,并隨著網(wǎng)絡(luò)的興起而升級(jí)為網(wǎng)絡(luò)態(tài)勢(shì)感知(Cyberspace Situation Awareness,CSA)。本文所提及的網(wǎng)絡(luò)態(tài)勢(shì)均指網(wǎng)絡(luò)安全態(tài)勢(shì)。文獻(xiàn)[8]指出:基于融合的網(wǎng)絡(luò)態(tài)勢(shì)感知必將成為網(wǎng)絡(luò)管理的發(fā)展方向。網(wǎng)絡(luò)態(tài)勢(shì)感知的研究主要集中在網(wǎng)絡(luò)態(tài)勢(shì)預(yù)測(cè)與網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估2個(gè)方面。

1)網(wǎng)絡(luò)態(tài)勢(shì)預(yù)測(cè)

網(wǎng)絡(luò)態(tài)勢(shì)預(yù)測(cè)的主要方法分為Markov模型[9]、時(shí)間序列分析以及博弈論等。Markov模型方法憑借計(jì)算狀態(tài)之間的轉(zhuǎn)移概率來推測(cè)最有可能發(fā)生的攻擊行為[10],該方法需要較長(zhǎng)且連續(xù)的觀測(cè)序列才能保證預(yù)測(cè)的準(zhǔn)確性。時(shí)間序列分析方法通過動(dòng)態(tài)數(shù)據(jù)處理找尋相鄰觀測(cè)值前后的關(guān)系[11],其成本較低但無法處理大量數(shù)據(jù)集。博弈論[12]憑借攻防模擬給出最佳加固方案,但當(dāng)網(wǎng)絡(luò)規(guī)模過大時(shí),攻擊者的行為活動(dòng)復(fù)雜度會(huì)變高,導(dǎo)致其運(yùn)行負(fù)擔(dān)隨之增加。文獻(xiàn)[13]通過對(duì)攻擊者、管理員和用戶三方的行為進(jìn)行博弈分析,建立Markov博弈模型對(duì)系統(tǒng)安全態(tài)勢(shì)進(jìn)行分析,為管理員提供最佳加固方案。

2)網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估

網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估是指網(wǎng)絡(luò)管理人員根據(jù)已經(jīng)辨識(shí)的惡意行為和檢測(cè)系統(tǒng)發(fā)出的告警,通過建立函數(shù)或統(tǒng)計(jì)學(xué)模型評(píng)估其對(duì)數(shù)據(jù)信息或者其他網(wǎng)絡(luò)資源造成的威脅[14]。在網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法中,基于知識(shí)推理的方法面臨計(jì)算規(guī)模的挑戰(zhàn),基于統(tǒng)計(jì)的方法不具備合理的量化標(biāo)準(zhǔn),其評(píng)估結(jié)果受專家個(gè)人的主觀影響,灰度理論具有十分精準(zhǔn)的短期預(yù)測(cè)能力。但是上述方法主要評(píng)估的是靜態(tài)損失,對(duì)于已產(chǎn)生的告警缺乏合理分析。

本文對(duì)檢測(cè)系統(tǒng)中的告警進(jìn)行基于用戶偏好及處理成本的評(píng)估,幫助用戶有效地確定告警處理的優(yōu)先級(jí),以提高用戶對(duì)整體處理結(jié)果的滿意程度。

2 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估

2.1 基本概念及定義

2.1.1 權(quán)重搜索方法

評(píng)分函數(shù)是指定網(wǎng)絡(luò)安全評(píng)估指標(biāo)——偏好權(quán)重的最直接方式。由于線性評(píng)分函數(shù)可用于計(jì)算告警處理優(yōu)先級(jí)的排序結(jié)果[15],因此本文采用線性評(píng)分函數(shù)并設(shè)用戶偏好為權(quán)重向量ω=(ω[1],ω[2],…,ω[d])T,其中,權(quán)重ω[i]用于衡量用戶對(duì)屬性A[i]的偏好程度。本文設(shè)所有ω[i]均為數(shù)字值,同時(shí)將其歸一化至[0,1]。

在數(shù)據(jù)集D中有n個(gè)對(duì)象,每個(gè)對(duì)象包含d個(gè)屬性。pAi表示p在Ai上的值,其值越大表明用戶偏好程度更高。由評(píng)分函數(shù)f將對(duì)象的多個(gè)屬性值進(jìn)行聚合得到其評(píng)分值,再根據(jù)該值返回對(duì)象次序。

定義1定義p與q在評(píng)分函數(shù)f下有如下關(guān)系:

iffpAi>qAi,pAi?qAi

iffpAi≥qAi,pAiqAi

ifff(p)>f(q),p?fq

ifff(p)≥f(q),pfq

定義3線性評(píng)分函數(shù)fω(p)為加權(quán)求和函數(shù):

定義4對(duì)于正整數(shù)k和權(quán)重向量ω,排序查詢結(jié)果Ttopk(ω)表現(xiàn)為一個(gè)有序列表,可使Ttopk(ω)?D,|Ttopk(ω)|=k且?p:p∈Ttopk(ω),?q∈D-Ttopk(ω)均有p?fωq。?p,q∈Ttopk(ω),p?fωq在top-k結(jié)果中對(duì)象p均排在對(duì)象q的前面。

2.1.2 告警選擇預(yù)算

本文的目標(biāo)是選擇一個(gè)能使效用最大化的告警組H(H?A),同時(shí)成本(時(shí)間)不超過B。

(1)

目前沒有求解式(1)的效用函數(shù),因而其被稱為隱形效用函數(shù)[16-17]。文獻(xiàn)[18]引入distortion的概念來量化給定聚合規(guī)則實(shí)現(xiàn)這一目標(biāo)的程度。distortion是最佳告警組的效率與所給告警組效率之間最壞情況的比率,它度量了偏好中所含信息對(duì)實(shí)現(xiàn)告警效率最大化的有用程度。

2.2 安全態(tài)勢(shì)評(píng)估流程

安全態(tài)勢(shì)評(píng)估流程為:

2)采用均勻抽樣的方法從Γ中得到權(quán)重候選集合S={ω1,ω2,…,ωS},基于此使用評(píng)分函數(shù)得到所有候選對(duì)象在權(quán)重上的排序集合。

3)基于定義1,返回一組對(duì)象(p,q)用于學(xué)習(xí)用戶偏好,通過用戶在對(duì)象(p,q)上表現(xiàn)出不同偏好程度,對(duì)權(quán)重空間進(jìn)行約束。若用戶對(duì)p偏好程度較高,將(p-q)·ω>0加入用于約束權(quán)重空間的不等式組,否則,將(p-q)·ω<0加入不等式組。得到另一個(gè)權(quán)重空間Λ。

4)重復(fù)此學(xué)習(xí)過程,建立偏好集合。針對(duì)每個(gè)告警對(duì)于用戶偏好的效用建立效用函數(shù)vi(a),分別使用背包式方法和閾值設(shè)定方法結(jié)合處理成本對(duì)告警進(jìn)行選擇,并以distortion來度量處理告警效率的最大化程度。

3 基于用戶偏好的權(quán)重搜索算法

3.1 評(píng)估模型

(2)

設(shè)對(duì)象p1,p2,…,pk為在Cpi(權(quán)重集合)中任意權(quán)重下均能得到的top-k對(duì)象,即對(duì)?ωl∈Cpi滿足pj·ωl>pj+1·ωl,其中j=1,2,…,k-1。由此可得不等式組:

Q(R,T)的值越小則說明WT的質(zhì)量越高,同時(shí)得到的用戶的近似偏好權(quán)重的質(zhì)量也越高。

3.2 權(quán)重搜索算法

定義cp為凸多面體,Vcp={ω1,ω2,…,ωl}表示cp幾何意義上的所有凸點(diǎn),Bcp代表cp的邊界,Icp代表cp的內(nèi)部權(quán)重的集合。設(shè)權(quán)重空間CP由凸多面體{cp1,cp2,…,cpm}組成,對(duì)象p、q在其內(nèi)部可構(gòu)造一個(gè)超平面H:(p-q)·ω=0,則H將CP分割成CP>和CP<2個(gè)部分。在此基礎(chǔ)上,根據(jù)用戶對(duì)對(duì)象p、q的偏好性,可將權(quán)重空間約束到CP的子集CP>或CP<上。經(jīng)過有限次循環(huán),最終只會(huì)有一個(gè)cpi被保留,可以理解為不存在任何一個(gè)超平面與其相交。因此,在該凸多面體cpi中,任何一個(gè)權(quán)重下的top-k結(jié)果都一致,都可以作為用戶偏好的近似解。

有一種特殊情況,若權(quán)重落在超平面H上,則說明對(duì)象p、q具有相同的評(píng)估值,為避免此種情況的不確定性,定義cpi的排序結(jié)果為偏序結(jié)構(gòu),即如果pVcpq,那么對(duì)?ω∈Icp均有p?ωq。

如圖1所示,當(dāng)維度d=2時(shí),權(quán)重為ω[2]坐標(biāo)軸上0到1的線段。

圖1 維度為2的示例Fig.1 Example when dimension d=2

當(dāng)權(quán)重ω[2]=0,5個(gè)對(duì)象排序rA=5?1?3?4?2。當(dāng)權(quán)重ω[2]=1,5個(gè)對(duì)象排序rF=4?5?2?1?3?？紤]對(duì)象1和對(duì)象3在rA與rF中均有1?3,因此可知對(duì)象1在整個(gè)權(quán)重空間均優(yōu)于對(duì)象3。

如圖2所示,當(dāng)維度d=3時(shí),經(jīng)過多次交互保留的權(quán)重空間僅為凸多面體區(qū)域K,其凸點(diǎn)有3個(gè):{[3/4,0]T,[6/7,1/7]T,[1,0]T}。

圖2 維度為3的示例Fig.2 Example when dimension is 3

在其權(quán)重下5個(gè)對(duì)象的排序?yàn)?r[3/4,0]T=5?1?34?2、r[6/7,1/7]T=5?1?34?2、r[1,0]T=5?1?3?4?2。在所有凸點(diǎn)處,對(duì)象3的排序均表現(xiàn)優(yōu)于對(duì)象4,因此可將排序中的等于關(guān)系清除,即表現(xiàn)為排序一致,可將K中的任意權(quán)重作為用戶偏好近似值返回。

當(dāng)維度d≥3時(shí),該問題則轉(zhuǎn)變?yōu)橥苟嗝骟w的凸點(diǎn)的枚舉問題,其中多面體cp通過以下不等式組定義:

本文采用文獻(xiàn)[19]提出的方法來解決該問題。

由于R(候選對(duì)象在權(quán)重空間凸點(diǎn)處的排序集合)中所有排序均為嚴(yán)格的偏序結(jié)構(gòu),對(duì)象p、q的評(píng)分值不存在完全相同的情況,因此以公式h(p,q)=(|Rp?q|-0.5|R|)2評(píng)價(jià)其候選對(duì)象的優(yōu)劣性。分析可知存在2種情況:

情況1若對(duì)象p和q使h(p,q)的值越小,則無論選擇哪個(gè)對(duì)象都可以很好地均分R,表現(xiàn)越優(yōu)的對(duì)象,與其對(duì)應(yīng)的評(píng)價(jià)值也越小。

情況2如果通過上述評(píng)價(jià)公式存在多個(gè)對(duì)象獲得相同評(píng)價(jià)值的情況,可形式化描述為給定凸點(diǎn)處的權(quán)重及其排序rω1和rω2。若對(duì)象p、q在排序中相對(duì)次序不一致,則存在超平面H:(p-q)·ω′=0使排序?qū)?yīng)的凸點(diǎn)位于其兩邊,假設(shè)存在m組不同的對(duì)象符合上述情況,可將rω1轉(zhuǎn)換為rω2。具體變換規(guī)則為:在rω1經(jīng)過超平面時(shí),將該超平面對(duì)應(yīng)的對(duì)象在該排序中的次序交換,反之亦然。

下文對(duì)情況2做形式化描述。設(shè)對(duì)象p、q將R={rω1,rω2,…,rωm}分割成Rp?q與Rq?p2個(gè)部分且|Rp?q|≥|Rq?p|,定義:

其中,r為Rq?p中任意抽取的序列,r0為Rp?q中任意抽取的序列,λr(p)代表對(duì)象p在r中所處的位置,λr0(p)代表對(duì)象p在r0中所處的位置,dist(r0,r)代表序列r0與序列r之間相對(duì)次序不同的對(duì)象對(duì)的數(shù)量,eval(p,q)的值越小,則說明該對(duì)象對(duì)越優(yōu)。

4 基于偏好及成本的告警選擇方法

4.1 背包選擇法

上文已經(jīng)得到所有告警的用戶偏好權(quán)重,下文需要在成本約束下選擇能使告警處理效率最大化的一組告警。背包選擇法采用聚合規(guī)則將所有告警都視為被選中可直接進(jìn)行處理的對(duì)象,對(duì)所有告警的偏好權(quán)重進(jìn)行排序,貪婪執(zhí)行直到總成本(總時(shí)間)用盡。

4.2 隨機(jī)閾值法

由于采用固定閾值選擇效用函數(shù)會(huì)導(dǎo)致多種選擇方案且其distortion不理想,因此本文采用隨機(jī)閾值,高于閾值的效用所對(duì)應(yīng)的告警即被選擇優(yōu)先處理。

設(shè)定閾值t,被選擇的告警集合為其偏好效用高于t的告警組成,當(dāng)且僅當(dāng)Ti={a∈A:vi(a)≥t},Vi?Ti。

隨機(jī)閾值的設(shè)定是一個(gè)輸入格式的分配,每一個(gè)閾值的效用都有一個(gè)分配,為此本文構(gòu)建3種不同的機(jī)制,最終的選擇將在這3種機(jī)制之間隨機(jī)化。

機(jī)制1從集合T={(j,k):j,k∈[1,2 lnm]}中隨機(jī)選取一對(duì)(j,k),然后將閾值設(shè)定為lj,并使用生成的輸入曲線,貪婪地選擇Sk中偏好值最高的1/uk個(gè)告警。令Bj,k表示(j,k)的告警選擇集合。因?yàn)橛衘>0且k>0,在第一次轉(zhuǎn)換中,僅需考慮至少為lj的效用群體,在第二次轉(zhuǎn)換中,因?yàn)閡j=2lj,|S*∩Sk|≤2|Bj,k|,所以Bj,k由貪婪選擇的告警組成且擁有最高的偏好值。因此,機(jī)制1實(shí)現(xiàn)的預(yù)期效率是:

第一次轉(zhuǎn)換為:

第二次轉(zhuǎn)換為:

機(jī)制3在A中隨機(jī)選擇一個(gè)告警,其實(shí)現(xiàn)的預(yù)期效率為n/m。

4.3 風(fēng)險(xiǎn)指數(shù)

在實(shí)際應(yīng)用中,以用戶偏好作為告警處理優(yōu)先級(jí)選擇的唯一衡量標(biāo)準(zhǔn)略顯片面,因此,本文引入告警風(fēng)險(xiǎn)指數(shù)的概念。風(fēng)險(xiǎn)指數(shù)主要以受告警威脅資產(chǎn)的重要程度、告警涉及相關(guān)漏洞的危害性、告警涉及相關(guān)漏洞的可利用性以及告警在防護(hù)性角度描述的危害性4個(gè)評(píng)估因子作為依據(jù)。本文采用ISO/IEC 27001中的定義對(duì)受告警威脅資產(chǎn)的重要程度進(jìn)行量化,將其分級(jí)為可忽略、低、中、高、極高,分別對(duì)應(yīng)賦值1、2、3、4、5;以NESSUS漏洞分析作為標(biāo)準(zhǔn)對(duì)涉及漏洞危害性進(jìn)行量化,將其分級(jí)為低、中、高,分別對(duì)應(yīng)賦值1、3、5;以NESSUS漏洞分析為標(biāo)準(zhǔn)將涉及相關(guān)漏洞的可利用性劃分為難、中、易并分別賦值1、3、5;依據(jù)現(xiàn)有防護(hù)資料將告警的可防護(hù)性劃分為易、中、難并分別賦值1、3、5。由此,告警風(fēng)險(xiǎn)指數(shù)可被描述為:

5 實(shí)驗(yàn)與結(jié)果分析

5.1 用戶偏好的權(quán)重搜索策略

網(wǎng)絡(luò)安全告警的嚴(yán)重程度由其屬性字段上的評(píng)估值(實(shí)數(shù))來表示,該值區(qū)間通常為[0,1]。本文采用經(jīng)典的數(shù)據(jù)生成算法[20]來生成實(shí)驗(yàn)數(shù)據(jù)。

通過經(jīng)典數(shù)據(jù)生成算法可以生成相關(guān)數(shù)據(jù)集、非相關(guān)數(shù)據(jù)集和均勻分布數(shù)據(jù)集3種數(shù)據(jù)集。均勻分布數(shù)據(jù)集中各個(gè)屬性字段值相互獨(dú)立且分布均勻,相關(guān)數(shù)據(jù)集中數(shù)據(jù)在不同維度上的優(yōu)劣性表現(xiàn)較為一致,算法對(duì)兩者進(jìn)行測(cè)試時(shí),性能差異不大,但非相關(guān)數(shù)據(jù)集中數(shù)據(jù)在不同維度上的優(yōu)劣性通常差異很大。因此,本文主要采用非相關(guān)數(shù)據(jù)集和均勻分布數(shù)據(jù)集測(cè)試算法的性能。為測(cè)試算法效率,本文實(shí)驗(yàn)分別生成大小為100、1 000、10 000以及100 000的數(shù)據(jù)集,數(shù)據(jù)維度分別為2、3、4和5,此數(shù)據(jù)規(guī)?；究梢愿采w所有網(wǎng)絡(luò)環(huán)境的告警測(cè)試用例。

本文算法的性能主要通過交互次數(shù)、等待時(shí)間和求解質(zhì)量進(jìn)行對(duì)比。其中,交互次數(shù)為算法得到最終用戶偏好所需要的交互總次數(shù),等待時(shí)間取算法進(jìn)行每次交互所需時(shí)間的平均值,求解質(zhì)量代表算法得到最終偏好值的近似程度。實(shí)驗(yàn)對(duì)象為算法WSA-I和WSA-II,其中WSA-I算法適用于3.2節(jié)中的情況1,WSA-II算法同時(shí)適用于3.2節(jié)中2種情況。

結(jié)合實(shí)際應(yīng)用環(huán)境,本文實(shí)驗(yàn)設(shè)參數(shù)k=10,并將偏好權(quán)重ω初始化為[1/d,1/d,…,1/d]。當(dāng)算法將對(duì)象(p,q)返回做交互時(shí),ω對(duì)(p,q)進(jìn)行評(píng)分并將評(píng)分值較好的對(duì)象作為結(jié)果進(jìn)行反饋。本文在window7操作系統(tǒng)、Intel Core i3處理器、4 GB內(nèi)存的計(jì)算機(jī)中,通過JDK1.8編譯完成算法設(shè)計(jì)。

實(shí)驗(yàn)1設(shè)置參數(shù)k=10,數(shù)據(jù)維度d=3,在不同數(shù)據(jù)規(guī)模下測(cè)試2個(gè)算法的等待時(shí)間及交互次數(shù),實(shí)驗(yàn)結(jié)果如圖3～圖6所示。

圖3 不同數(shù)據(jù)規(guī)模下均勻數(shù)據(jù)集中算法的等待時(shí)間Fig.3 Waiting time of algorithms in uniform dataset indifferent data scales

圖4 不同數(shù)據(jù)規(guī)模下非相關(guān)數(shù)據(jù)集中算法的等待時(shí)間Fig.4 Waiting time of algorithms in uncorrelated dataset indifferent data scales

圖5 不同數(shù)據(jù)規(guī)模下均勻數(shù)據(jù)集中算法的交互次數(shù)Fig.5 Interaction times of algorithms in uniform dataset indifferent data scales

圖6 不同數(shù)據(jù)規(guī)模下非相關(guān)數(shù)據(jù)集中算法的交互次數(shù)Fig.6 Interaction times of algorithms in uncorrelated dataset indifferent data scales

從圖3和圖4可以看出,在相同數(shù)據(jù)維度的情況下,算法WSA-II比WSA-I耗費(fèi)更多的時(shí)間,這是因?yàn)閃SA-II算法需要同時(shí)顧及2種情況來選擇最優(yōu)對(duì)象對(duì)。

從圖5和圖6可以看出,在相同數(shù)據(jù)維度下,算法WSA-II比WSA-I需要更少的交互次數(shù)。由此可見,在選擇最優(yōu)對(duì)象對(duì)時(shí)情況2是存在且有影響的。

實(shí)驗(yàn)2設(shè)置參數(shù)k=10,數(shù)據(jù)規(guī)模為1 000,在不同數(shù)據(jù)維度下測(cè)試2個(gè)算法的等待時(shí)間及交互次數(shù),實(shí)驗(yàn)結(jié)果如圖7～圖10所示。

圖7 不同數(shù)據(jù)維度下均勻數(shù)據(jù)集中算法的等待時(shí)間Fig.7 Waiting time of algorithm in uniform dataset indifferent data dimensions

圖8 不同數(shù)據(jù)維度下非相關(guān)數(shù)據(jù)集中算法的等待時(shí)間Fig.8 Waiting time of algorithms in uncorrelated dataset indifferent data dimensions

圖9 不同數(shù)據(jù)維度下均勻數(shù)據(jù)集中算法的交互次數(shù)Fig.9 Interaction times of algorithms in uniform dataset indifferent data dimensions

圖10 不同數(shù)據(jù)維度下非相關(guān)數(shù)據(jù)集中算法的交互次數(shù)Fig.10 Interaction times of algorithms in uncorrelated dataset indifferent data dimensions

從圖7和圖8可以看出,在相同數(shù)據(jù)規(guī)模的情況下,算法WSA-II比WSA-I要耗費(fèi)更多的時(shí)間,原因與實(shí)驗(yàn)1相同。

從圖9和圖10可以看出,在相同數(shù)據(jù)規(guī)模下,算法WSA-II比WSA-I需要更少的交互次數(shù),原因與實(shí)驗(yàn)1相同。

通過分析實(shí)驗(yàn)1和實(shí)驗(yàn)2的結(jié)果發(fā)現(xiàn),在不同數(shù)據(jù)規(guī)模和數(shù)據(jù)維度下,算法的運(yùn)行時(shí)間和用戶的交互次數(shù)在非相關(guān)數(shù)據(jù)集和均勻分布數(shù)據(jù)集中的表現(xiàn)差別不大。

實(shí)驗(yàn)3設(shè)置數(shù)據(jù)規(guī)模為1 000,假設(shè)用戶可接受的最高交互次數(shù)為10次,測(cè)試2個(gè)算法求解的質(zhì)量,實(shí)驗(yàn)結(jié)果如圖11和圖12所示。

圖11 均勻數(shù)據(jù)集中算法的求解質(zhì)量Fig.11 Solution quality of algorithms in uniform dataset

圖12 非相關(guān)數(shù)據(jù)集中算法的求解質(zhì)量Fig.12 Solution quality of algorithms in uncorrelated dataset

從圖11和圖12可以看出,在均勻數(shù)據(jù)集和非相關(guān)數(shù)據(jù)集中,算法WSA-I經(jīng)過10次交互后得到的解的質(zhì)量均比算法WSA-II差。

5.2 基于背包式和設(shè)定閾值的告警選擇方法

圖13 4種方法的平均效率比例Fig.13 Average efficiency ratios of four methods

圖14 2種輸入格式的平均運(yùn)行時(shí)間Fig.14 Average running times of two input formats

從圖13和圖14可以看出,在平均效率比例方面,對(duì)于確定的distortion最小化聚合規(guī)則通常優(yōu)于隨機(jī)化規(guī)則,但隨機(jī)化規(guī)則有較低的distortion,并且會(huì)將因效用函數(shù)信息缺失導(dǎo)致的效率損失控制在2%～3%,而背包式方法會(huì)導(dǎo)致較高的distortion,同時(shí)還需要較多的運(yùn)行時(shí)間。

6 結(jié)束語

本文對(duì)用戶選擇優(yōu)先處理告警的偏好及處理告警所需的成本進(jìn)行綜合分析,提出基于用戶偏好的權(quán)重搜索及告警選擇方法。挖掘用戶潛在偏好值,在有限的成本(時(shí)間)內(nèi),通過對(duì)效用設(shè)定隨機(jī)閾值選擇需優(yōu)先處理的告警,圈定用戶認(rèn)為嚴(yán)重程度較高的待處理范圍,以此提高用戶的滿意度。實(shí)驗(yàn)結(jié)果表明,該方法合理有效,能幫助用戶做出處理告警的較優(yōu)選擇。但在現(xiàn)實(shí)中,用戶可能對(duì)告警的選擇存在認(rèn)知困難,不能對(duì)告警做出正確的偏好選擇,或用戶可能傾向于不做出偏好選擇,讓系統(tǒng)自行選擇處理優(yōu)先級(jí),并且不同性能的用戶端其告警處理時(shí)間會(huì)存在較大差異,因而難以確定成本范圍。下一步將通過用戶調(diào)查并根據(jù)其結(jié)果對(duì)告警進(jìn)行多用戶偏好設(shè)定,確定具體的告警處理優(yōu)先級(jí)選擇方案。