计算机应用   2017, Vol. 37 Issue (4): 1008-1013  DOI: 10.11772/j.issn.1001-9081.2017.04.1008
0

引用本文 

赵冬梅, 李红. 基于并行约简的网络安全态势要素提取方法[J]. 计算机应用, 2017, 37(4): 1008-1013.DOI: 10.11772/j.issn.1001-9081.2017.04.1008.
ZHAO Dongmei, LI Hong. Approach to network security situational element extraction based on parallel reduction[J]. Journal of Computer Applications, 2017, 37(4): 1008-1013. DOI: 10.11772/j.issn.1001-9081.2017.04.1008.

基金项目

国家自然科学基金资助项目(61672206);河北省科技计划项目(15214706D)

通讯作者

李红 (1990-), 女, 河北衡水人, 硕士研究生, CCF会员, 主要研究方向:信息安全, E-mail: heblihong@126.com

作者简介

赵冬梅 (1966-), 女, 河北深州人, 教授, 博士, CCF会员, 主要研究方向:网络安全、信息安全

文章历史

收稿日期:2016-11-04
修回日期:2016-12-21
基于并行约简的网络安全态势要素提取方法
赵冬梅1,2, 李红2,3    
1. 河北师范大学 信息技术学院, 石家庄 050024;
2. 河北省网络与信息安全重点实验室, 石家庄 050024;
3. 河北师范大学 数学与信息科学学院, 石家庄 050024
摘要: 网络安全态势要素选取的质量对网络安全态势评估的准确性起到至关重要的作用,而现有的网络安全态势要素提取方法大多依赖先验知识,并不适用于处理网络安全态势数据。为提高网络安全态势要素提取的质量与效率,提出一种基于属性重要度矩阵的并行约简算法,在经典粗糙集基础上引入并行约简思想,在保证分类不受影响的情况下,将单个决策信息表扩展到多个,利用条件熵计算属性重要度,根据约简规则删除冗余属性,从而实现网络安全态势要素的高效提取。为验证算法的高效性,利用Weka软件对数据进行分类预测,在NSL-KDD数据集中,相比利用全部属性,通过该算法约简后的属性进行分类建模的时间缩短了16.6%;对比评价指标发现,相比现有的三种态势要素提取算法(遗传算法(GA)、贪心式搜索算法(GSA)和基于条件熵的属性约简(ARCE)算法),该算法具有较高的召回率和较低的误警率。实验结果表明,经过该算法约简的数据具有更好的分类性能,实现了网络安全态势要素的高效提取。
关键词: 网络安全态势    要素提取    属性重要度矩阵    粗糙集    
Approach to network security situational element extraction based on parallel reduction
ZHAO Dongmei1,2, LI Hong2,3     
1. College of Information Technology, Hebei Normal University, Shijiazhuang Hebei 050024, China;
2. Hebei Key Laboratory of Network and Information Security, Shijiazhuang Hebei 050024, China;
3. College of Mathematics and Information Science, Hebei Normal University, Shijiazhuang Hebei 050024, China
Abstract: The quality of network security situational element extraction plays a crucial role in network security situation assessment. However, most of the existing network security situational element extraction methods rely on prior knowledge, and are not suitable for processing network security situational data. For effective and accurate extraction of network security situational elements, a parallel reduction algorithm based on matrix of attribute importance was proposed. The parallel reduction was introduced into classical rough set, then a single decision information table was expanded to multiple ones without affecting the classification. The conditional entropy was used to calculate attribute importance, and the redundant attributes were deleted according to reduction rules, thus the network security situational elements were extracted efficiently. In order to verify the efficiency of the proposed algorithm, the classification prediction was implemented on Weka. Compared with the usage of all the attributes, the classification modeling time on NSL-KDD dataset was reduced by 16.6% by using the attributes reduced by the proposed algorithm. Compared with the existing three element extraction algorithms (Genetic Algorithm (GA), Greedy Search Algorithm (GSA), and Attribute Reduction based on Conditional Entropy (ARCE) algorithm), the proposed algorithm has higher recall rate and low false positive rate. The experimental results show that the data set reduced by the proposed algorithm has better classification performance, which realizes an efficient extraction of network security situational elements.
Key words: network security situation    element extraction    matrix of attribute importance    Rough Set (RS)    
0 引言

网络安全态势感知 (Situation Awareness, SA) 技术作为一种主动防御的网络安全技术弥补了传统安全技术更新周期繁琐、数据源单一、速度慢等缺点, 网络安全态势要素作为网络安全态势感知系统的基础, 其质量的优劣直接影响整个安全系统的性能, 如何从繁杂的网络安全事件中提取态势要素是国内外学者研究的重点问题。国外对网络安全态势要素的提取技术的研究伴随着网络态势感知概念的提出而开始, 美国科学应用国际公司信息保护中心的Bass[1]首次提出网络态势感知概念, 通过数据精炼、对象精练、态势精练三次抽象来获取网络安全态势要素; 美国国家能源研究科学计算中心的Lawrence Berkeley National Labs开发的“The Spinning Cube of Potential Doom”系统[2]以简单网络管理协议 (Simple Network Management Protocol, SNMP) 数据源为基础,用旋转的3D立体中点的颜色展示恶意的网络流量,通过分析网络连接状况实现态势要素的提取; 但该系统态势要素信息源单一,难以全面的评估网络态势状况。美国国家高级安全系统研究中心将开发的Security Incident Fusion Tools[3]与专业人员的认知能力相结合从而实现网络安全态势要素提取;但该方法容易受到主观因素影响。国内对网络安全态势要素提取相关研究起步较晚, 前期在入侵检测方面所做的相关工作为网络安全态势要素提取技术的研究奠定了基础。为去除冗余特征、提高运算准确度, 哈尔滨工程大学的王慧强等[4]提出一种基于进化神经网络的态势要素提取模型, 通过将进化策略引入神经网络提高模型的收敛速度和分类精度; 李冬银[5]建立了基于改进的粒子群优化 (Improved Particle Swarm Optimization, IPSO) 算法和逻辑斯谛回归 (Logistic Regression, LR) 算法的态势要素提取模型 (LR-IPSO), 利用IPSO全局寻优能力对LR的参数进行估算, 从而提高学习精度与速度。针对网络安全态势要素多源异构的特点, 司成等[6]提出一种基于本体的网络安全态势要素知识库模型对态势要素进行分类和提取; 刘效武等[7]提出一种基于融合的网络安全态势认知感控模型, 在模型中通过引入权系数生成理论对攻击威胁因子进行排序从而实现态势要素的提取。

上述研究方法在某些特定领域取得了一定的成效, 但态势要素提取过程中需要大量的先验知识, 而网络安全领域中较难获取先验知识。为解决这一问题, 网络安全工作者提出将粗糙集 (Rough Set, RS) 理论引入网络安全态势感知研究中[8-12], 充分利用粗糙集理论学习能力强,无需数据集以外的任何先验知识的优势进行安全态势要素提取[13]; 然而经典的粗糙集模型只能处理少量的静态数据, 新增数据后往往需要对全部的数据进行重新计算, 效率明显降低, 尤其面对巨大的数据量时, 很难保证要素提取的实时性。能否及时准确提取要素直接影响网络安全态势评估质量, 因此本文提出一种基于属性重要度矩阵并行约简算法, 在经典粗糙集基础上引入并行约简思想[14], 将单个决策信息表扩展到多个, 利用条件熵构建属性重要度矩阵, 根据约简规则删除冗余属性, 从而实现网络安全态势要素的高效提取。

1 网络安全态势感知与网络安全态势要素提取 1.1 网络安全态势感知概念

态势感知 (SA) 思想源于军事中对敌我攻防态势的评估, 此后在空中交通监管领域[15]、医疗应急调度领域[16]及电力系统领域[17]等得到了广泛的应用。网络安全态势感知概念[1]是将交通监管态势感知的成熟理论与技术运用到网络安全领域中, 它是一个多方面的推理过程, 获取网络安全态势要素是该过程的基础。

1.2 网络安全态势要素概念

网络安全态势要素指的是在多源异构数据源中大量存在的能够引起网络安全状态发生变化的一系列基本元素[6], 作为一个综合性的概念网络安全态势要素涉及到大量异构格式的信息, 根据数据来源的不同可以将网络安全态势要素分为网络环境、网络漏洞和网络攻击三种类别。其中网络环境是网络安全态势要素发挥作用的基础, 由网络安全设备和与网络安全状况相关的网络拓扑与应用配置组成; 网络漏洞是网络安全态势要素的重要组成部分, 包括漏洞属性、漏洞对象, 攻击者通过扫描系统存在的缺陷, 黑客利用这些缺陷实现非法访问或侵权; 网络攻击是网络安全态势要素的核心内容, 也是网络安全态势面临的主要威胁, 包括攻击工具、攻击方法和攻击结果等。网络环境与网络漏洞是网络本身固有特征, 对网络安全态势具有一定影响,但决定网络安全态势的关键在于网络攻击, 因此本文研究的网络安全要素提取主要针对网络攻击类型。

1.3 网络安全态势要素的选取

在真实的信息网络实体中态势感知的数据来源要全面和丰富[18-19], 网络安全态势要素应涵盖信息网络的各个层次, 从而为整个网络安全态势提供全面、准确的信息支持, 选取的态势要素应该具有以下特点:

1) 覆盖全面。从诸多的网络安全态势要素中选取的特征要素必须能全面反映网络安全态势的状况, 即依据所选取出来的态势要素即可对整体网络安全态势状况进行感知分析。

2) 特征显著。所选取的态势要素要具有典型代表性, 即根据态势要素可以清晰准确地对样本进行分类, 且保证不同类别的样本之间具有较大区分度。

3) 易于提取。在保证分类性能不变的前提下, 所提取的态势要素的个数不宜过多, 从而可以减少运算量, 提高整体态势感知的效率。

4) 强鲁棒性。当网络安全态势发生变化时, 仅仅需要更新那些对应单元中的态势要素值即可, 且对于网络安全态势中的噪声数据具有一定的处理能力。

网络安全态势要素提取是实现网络安全态势感知的基础, 网络安全态势要素选取的质量对网络安全态势评估的准确性起到至关重要的作用, 从繁杂的网络安全态势信息中提取出符合要求的态势要素是本文研究的重点内容, 图 1展示的是网络安全态势要素提取的一般过程。

图 1 态势要素提取的一般过程 Figure 1 General process of situational elements of extraction
2 基于并行约简的态势要素提取方法

网络安全态势要素提取的关键是能准确发现网络中的异常信息, 提取态势要素的本质是一个属性筛选过程, 即通过约简算法去除冗余属性, 从而提取出必要的网络安全态势要素[20]。网络完全态势要素信息具有数据量大且属性数目多等特点[21]且不同属性的类型混杂多样, 面对大量异构的网络安全态势要素信息, 提取属性集合成为网络安全态势要素提取的必要过程。现有的提取属性集合的方法有主成分分析 (Principal Component Analysis, PCA) 法、奇异值分解 (Singular Value Decomposition, SVD) 法和粗糙集 (RS) 等, 其中PCA和SVD不可避免地会损失一部分决策信息[20], 而基于粗糙集的属性约简则没有改变原始数据的决策规则。基于粗糙集的态势要素提取过程如图 2所示。经典粗糙集模型是基于正域定义的[13], 只能处理静态且数据量较少的数据, 为适应网络安全态势要素特点, 本文通过对基于条件熵的属性约简算法进行改进, 提出一种基于并行约简的态势要素提取方法。

图 2 基于粗糙集的态势要素提取流程 Figure 2 Flow chart of situational elements extraction based on RS

原始网络安全态势数据经过连续属性离散化、数据归一化标准处理等预处理过程, 形成态势要素信息集合, 即建立态势要素决策表;根据约简算法求取态势要素核属性, 即态势要素中不可删除的属性集合;之后对其余属性根据约简规则进行筛选, 去除冗余属性保留重要属性, 最终确定优化后的特征子集。

2.1 构建态势要素信息集合

态势要素信息决策系统T被定义为一个四元组T=〈U, R, V, f〉, 其中:U表示态势要素的样本集合; R=CD是态势要素属性集合, C={C1, C2, …, Cn}为特征属性集合; D={D1, D2, …, Dm}为决策属性集合;V表示属性的值域; f:U*RV表示信息函数, 它指定U中每一个对象x的属性值。任意一个决策表S=〈U′, CD, V, f〉, 如果满足U′⊆U, 称为T的决策子表。

对于特征属性集合C的一个子集A, 删除属性a(∀aA) 或者添加任意一个其他属性后未对原来的决策产生影响, 那么该属性为非必要属性, 可以进行约简。具体描述如下:

对于特征属性集合C的一个子集A, 属性aA, 如果满足删除属性a后对于属性子集A的条件熵未受影响, 即G(D|A)=G(D|A-{a}), 或者属性aCaA, 往属性子集A中增加属性a, 使得G(D|A∪{a})=G(D|A), 那么属性a在属性子集A中是冗余的, 可以约简。

当且仅当特征属性子集AC满足条件:1) 对于任何子表SF, G(S, A; D)=G(S, C; D); 2) 对于任意的BA至少存在一个子表SF使得G(S, B; D) < G(S, A; D) 时,称A为特征属性C相对于决策属性D的特征选择。

对于态势要素信息的决策系统T, 包含态势要素特征属性集合C相对于决策属性D的全部必要特征属性组成的集合称为C相对于D的核, 表示为CORED(C)。

2.2 建立态势要素属性重要度矩阵

如果属性集合A是用来描述态势要素信息样本U中的条件属性的子集之一, 则QU上的划分为:

$ U/IND(A) = \{ {Y_1},{Y_2}, \ldots ,{Y_m}\} $ (1)

如果属性集合{d}是态势要素决策属性的子集之一, 则PU上的划分为:

$ U/IND(d) = \{ {X_1},{X_2}, \ldots ,{X_n}\} $ (2)

D关于A的条件熵G(D|A) 定义为:

$ G(D|A) = - \sum\limits_{i = 1}^n {p({X_i})} \sum\limits_{j = 1}^m {p({Y_j}|{X_i})} {\rm{l}}{{\rm{b}}_2}(p({Y_j}|{X_i})) $ (3)

态势要素信息的决策系统T=〈U, CD〉, P(T) 表示T的所有子表, FP(T), 特征属性子集AC, A关于F的相对于D的属性重要度矩阵为:

$ \boldsymbol{M}(A,D,F)\left[ {\begin{array}{*{20}{c}} {{\sigma _{11}}}&{{\sigma _{12}}}& \cdots &{{\sigma _{1m}}}\\ {{\sigma _{21}}}&{{\sigma _{22}}}& \cdots &{{\sigma _{2m}}}\\ \vdots & \vdots &{}& \vdots \\ {{\sigma _{n1}}}&{{\sigma _{n2}}}& \cdots &{{\sigma _{nm}}} \end{array}} \right] $ (4)

其中:σij=σ(aj, Ui)=Gi(A; D)-Gi(A-{aj}; D), ajB, (Ui, C, D)∈F, F中子决策表的个数为n, T中属性的个数为m

$ \boldsymbol{M}'(A,D,F)\left[ {\begin{array}{*{20}{c}} {{{\sigma '}_{11}}}&{{{\sigma '}_{12}}}& \cdots &{{{\sigma '}_{1m}}}\\ {{{\sigma '}_{21}}}&{{{\sigma '}_{22}}}& \cdots &{{{\sigma '}_{2m}}}\\ \vdots & \vdots &{}& \vdots \\ {{{\sigma '}_{n1}}}&{{{\sigma '}_{n2}}}& \cdots &{{{\sigma '}_{nm}}} \end{array}} \right] $ (5)

其中:σij=σ′(aj, Ui)=Gi(A∪{ aj}; D)-Gi(A; D), ajB, (Ui, C, D)∈F, F中子决策表的个数为n, T中属性的个数为m

在矩阵M (A, D, F) 或M ′(A, D, F) 中每一行表示同一个决策子表中不同属性相对于决策属性D的分类能力, 每一列表示不同决策子表上同一个属性相对于决策属性D的分类能力。由上述理论可知M (C, D, F) 矩阵中任意大于0的元素对应的属性是其子表的核属性, 因此M (A, D, F) 矩阵中某一列元素全大于0, 则该列对应的属性为并行约简的核属性, 即必要特征属性集合。

2.3 算法描述

基于并行约简的态势要素提取算法的主要思想:首先根据态势要素特征属性集合C建立的属性重要度矩阵M (C, D, F) 计算并行约简的核属性B, 之后计算矩阵M ′(B, D, F), 并将M ′(B, D, F) 中不为0元素个数最多的列对应的特征属性加入到核属性B中形成属性集合P, 重复以上步骤, 直到M ′(A, D, F) 中的元素均为0, 此时集合P为次优约简结果, 然后依次删除次优约简集合P中的每个属性并计算删除属性后的条件熵, 如果仍等于G(D|P), 则删除该属性, 重复此步骤直到遍历次优约简集合P中的每一个属性, 此时得到的属性集合即为最优约简集合, 即所求的必要的特征属性集合。基于属性重要度矩阵的并行约简算法 (Parallel Reduction Algorithm based on Matrix of Attribute Importance, PRAMAI) 具体实现步骤如下所示:

1) 求态势要素信息系统的核属性B

态势要素信息系统的核属性中的每一个属性都是某两个属于不同决策类别的对象的唯一不同的条件属性, 是约简集合中必不可少的属性集合。具体步骤见算法1。

算法1    求核属性。

输入:态势要素信息系统T=〈U, R, V, f〉, P(T) 表示T的所有子表P(T), FP(T)。

输出:核属性集合B

a) 根据式 (4) 计算属性重要度矩阵M (C, D, F)。

b) 计算F中所有决策子表的属性核core(B):

$ B = \bigcup\limits_{j = 1}^m {\{ {a_j}:\exists {\sigma _{ij}}({\sigma _{ij}} \in M(C,D,F) \wedge {\sigma _{ij}} \ne 0)\} } $ (6)

c) 输出核属性集合B,算法结束。

2) 求态势要素信息系统的次优约简属性P

求态势要素信息系统的次优约简是整个算法的关键步骤, 次优约简P的属性个数直接影响求取最优约简属性集合的工作量。具体步骤见算法2。

算法2    求次优约简属性集合。

输入:态势要素信息系统T=〈U, R, V, f〉, T的所有子表P(T), FP(T), 核属性B

输出:次优约简属性集合P

a) 令P=B

b)E=C-P

c) 重复以下步骤, 直到E=∅或者G(D|P)=G(D|C):

对于∀akE(k=1, 2, …, n), 计算M′(P, D, F);

对于∀akE时所有的σik=0, 令E=E-{ak};

选择属性重要度非零且值最大的属性akE, P=P∪{ak}, E=E-{ak}(将属性重要度非零且值最大的属性添加到集合P中)。

d) 输出次优约简属性集合P,算法结束。

3) 求态势要素信息系统的最优约简V

为进一步删除态势要素信息系统冗余属性, 在次优约简基础上重新扫描并依次删除冗余属性。具体步骤见算法3。

算法3    求最优约简属性集合。

输入:态势要素信息系统T=〈U, R, V, f〉, 次优约简属性P

输出:最优约简属性集合V

a) 令V=P

b) 计算G(D|P)。

c) 对于∀viV, 重复以下步骤:

计算G(D|V-{vi});

如果G(D|V-{vi})=G(D|P), V=V-{vi}。

d) 输出最优约简属性集合V,算法结束。

2.4 实例分析

假设态势要素信息系统T={T1, T2}, 决策子系统T1=〈U1, CD, V, f〉, 决策子系统T2=〈U2, CD, V, f〉, U1={x1, x2, x3, x4}, U2={x5, x6, x7, x8, x9, x10}, 分别表示4个、6个网络安全态势状况, 特征属性C={a1, a2, a3}, 表示网络状况; 决策属性D={d}, 表示网络安全是否受到威胁; T1T2表 1~2所示。

表 1 决策子系统T1 Table 1 Decision subsystem T1
表 2 决策子系统T2 Table 2 Decision subsystem T2

第1步    求态势要素信息系统的核属性B

1) 计算属性重要度σij, 得

$ \boldsymbol{M}(C,D,F) = \left[ {\begin{array}{*{20}{c}} {0.301}&0&0\\ {0.241}&{0.166}&0 \end{array}} \right] $

2) 从属性重要度矩阵可以明显看出, 两个决策子系统中属性a1的重要度均不为0, 根据式 (6) 可以判定核属性为B={a1}, 即属性a1为不可删除属性, 此时G(D|B)≠G(D|C)。

第2步    求态势要素信息系统的次优约简。

1) 此时P=B={a1}, 则E=C-P={a2, a3}, 重新计算属性重要度σij, 得

$ \boldsymbol{M}'(B,D,F) = \left[ {\begin{array}{*{20}{c}} 0&0&0\\ 0&{0.201}&0 \end{array}} \right] $

2) 属性a3属性重要度为0, 因此将属性a3从集合中删除, 属性a2重要度不为0且值最大, 因此将属性a2加入到P中, 此时E=∅, P={a1, a2}且G(D|P)=G(D|C), 此时P={a1, a2}就是C相对于D的一个次优约简结果。

第3步    求态势要素信息系统的最优约简V

1)P={a1, a2}, 根据式 (3) 计算得G(D|P)=0, 令V=P

2)G(D|V-{a1})=G(D|{a2})=0.240 82≠G(D|P), 所以a1是必要属性。

G(D|V-{a2})=G(D|{a1})=0.165 86≠G(D|P), 所以a2是必要属性。

3)V={a1, a2}中所有属性都是必要属性, 即V是独立的; 又因为G(D|V)=G(D|C), 因此集合V为态势要素信息系统的一个约简, 且其中不含任何冗余属性, 因此V={a1, a2}为态势要素信息系统的一个最优约简。

3 实验与分析 3.1 实验数据集及环境

本文实验数据选自数据集NSL-KDD数据集, NSL-KDD数据集是KDD99数据集的精炼数据集, 共包含41个条件属性和1个标签属性。标签属性为:Probe、DoS、U2R、R2L和Normal五种类型。实验环境为:Windows 7操作系统, 2.13 GHz处理器, 4 GB内存。实验工具包括:ROSETTA、Matlab2010a、WEKA3.9。

3.2 性能指标

本文将召回率Recall和误警率FalsePositive作为检测性能的评价指标:

$ Recall = \frac{{TP}}{{TP + FN}} $ (7)
$ FalsePositive = \frac{{FP}}{{FP + TP}} $ (8)

其中:TP为正样本个数, FN为负样本个数, FP为分类到正样本中负样本的个数。

3.3 实验结果分析

NSL-KDD数据集中数据类型为混合型, 实验前需要对数据进行预处理, 为消除各属性量纲不一致的影响, 首先对数据进行标准归一化处理, 其次利用ROSETTA中的Boolean Reasoning算法对数据集中32个连续型属性进行离散化处理。经本文算法筛选后特征属性为10个, 用全部属性数据集与约简后属性数据集分别训练分类器, 表 3中展示的是使用全部属性 (包含41个属性和1个决策属性)、经过本文算法约简后的属性对NSL-KDD数据集进行检测的对比结果。

表 3 全部属性和约简后属性检测性能对比结果 Table 3 Comparison result of detection performance by using all and reduced attributes

表 3可以看出:本文算法约简后的属性集合训练的分类器与用全部属性集合训练的分类器相比,在对攻击类型的检测上均有较高的召回率和较低的误警率, 且经过约简后的数据集在建立分类模型时时间缩短16.6%。在NSL-KDD数据集中DoS攻击类型的数据通常具有连接持续时间较长且源主机与目的主机之间的数据字节数较大等特点, 这是由于攻击对象持续对目标主机进行资源侵占, 但现实网络中由于对目标主机或服务器的访问量大也会出现上述数据特点, 因此模型在分类时容易将正常的数据归为DoS类型攻击, 导致召回率较低, 但在其余四种攻击类型的判断中均具有较好的性能。总体上来看经过本文算法约简后的数据集合在分类性能上更优越,并且对于攻击类型的检测上耗时少、准确率高, 这说明该算法可以有效去除冗余属性, 提高分类性能。

图 3中展示的是通过遗传算法 (Genetic Algorithm, GA)、贪心式搜索算法 (Greedy Search Algorithm, GSA)、基于条件熵的属性约简 (Attribute Reduction based on Conditional Entropy, ARCE) 算法和本文算法选择的属性分别对网络数据进行检测的对比结果, 分类器分别采用了Lib-SVM和BayerNet。

图 3 几种算法分类器分类结果对比 Figure 3 Classification results of four algorithms by Lib-SVM and BayerNet

图 3可看出, 经过本文算法处理过的数据相比其他约简算法处理过的数据在不同的分类器下都表现出了较高的召回率, 实验结果表明, 本文算法适用于不同的分类器, 并且网络安全态势要素提取性能更好。

4 结语

本文对国内在网络安全态势要素提取方面所做的工作进行了研究分析, 并从中总结发现现有的研究方法在要素提取过程中过多依赖先验知识。为此,在分析网络安全态势要素的特点基础上提出一种基于属性重要度矩阵的并行约简算法进行网络安全态势要素提取, 该方法解决了经典粗糙集模型在属性约简过程中只能处理少量静态数据的问题, 经过本文算法处理的数据集与原数据集相比在对攻击类型的建模上时间明显缩短, 且具有较高的召回率与较低的误警率, 实现了对网络安全态势要素的高效提取。

参考文献
[1] BASS T. Multisensor data fusion for next generation distributed intrusion detection systems[EB/OL].[2016-03-10]. http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.51.1753.
[2] STEPHEN L. The spinning cube of potential doom[J]. Communications of the ACM, 2004, 47 (6) : 25-26. doi: 10.1145/990680
[3] YURCIK W. Visualizing NetFlows for security at line speed: the SIFT tool suite[C]//LISA 2005: Proceedings of the 19th Conference on Large Installation System Administration Conference. Berkeley, CA, USA: USENIX Association, 2005:169-176. https://www.usenix.org/legacy/event/lisa05/tech/full_papers/yurcik/yurcik_html/
[4] WANG H, LIANG Y, YE H. An extraction method of situational factors for network security situational awareness[C]//ICICSE 2008: International Conference on Internet Computing in Science and Engineering. Washington, DC: IEEE Computer Society, 2008:317-320. http://ieeexplore.ieee.org/abstract/document/4548281/
[5] 李冬银. 基于Logistic回归的网络安全态势要素获取研究[D]. 福州: 福州大学, 2014. ( LI D Y. The research on situation element extraction of network security based on logistic regression[D]. Fuzhou: Fuzhou University, 2014. ) http://cdmd.cnki.com.cn/Article/CDMD-10386-1015349282.htm
[6] 司成, 张红旗, 汪永伟, 等. 基于本体的网络安全态势要素知识库模型研究[J]. 计算机科学, 2015, 42 (5) : 173-177. ( SI C, ZHANG H Q, WANG Y W, et al. Research on network security situational elements knowledge base model based on ontology[J]. Computer Science, 2015, 42 (5) : 173-177. )
[7] 刘效武, 王慧强, 吕宏武, 等. 网络安全态势认知融合感控模型[J]. 软件学报, 2016, 27 (8) : 2099-2114. ( LIU X W, WANG H Q, LYU H B, et al. Fusion-based cognitive awareness-control model for network security situation[J]. Journal of Software, 2016, 27 (8) : 2099-2114. )
[8] LI N, CHEN Z, ZHOU G. Network traffic classification using rough set theory and genetic algorithm[C]//ICIC 2006: Proceedings of the 2006 International Conference on Intelligent Computing. Berlin: Springer, 2006:945-950. http://www.springerlink.com/index/047136MH421MT310.pdf
[9] 梁颖, 王慧强, 赖积保. 一种基于粗糙集理论的网络安全态势感知方法[J]. 计算机科学, 2007, 34 (8) : 95-97. ( LIANG Y, WANG H Q, LAI J B. A method of network security situation awareness based on rough set theory[J]. Computer Science, 2007, 34 (8) : 95-97. )
[10] 费洪晓, 胡琳. 一种粗糙集-决策树结合的入侵检测方法[J]. 计算机工程与应用, 2012, 48 (22) : 124-128. ( FEI H X, HU L. Combined rough set and decision tree method for intrusion detection[J]. Computer Engineering and Applications, 2012, 48 (22) : 124-128. )
[11] 何伟娜, 褚龙现, 姜建国. 混合型数据库中入侵检测技术仿真[J]. 计算机仿真, 2015, 32 (11) : 425-428. ( HE W N, CHU L X, JIANG J G. Simulation of intrusion detection technology for hybrid database[J]. Computer Simulation, 2015, 32 (11) : 425-428. )
[12] LUAN X, LI Z, LIU T. A novel attribute reduction algorithm based on rough set and improved artificial fish swarm algorithm[J]. Neurocomputing, 2015, 174 : 522-529.
[13] 李洪成, 付钰, 叶清, 等. 基于粗糙集定权的网络安全态势要素提取方法[J]. 计算机与数字工程, 2015, 42 (3) : 436-439. ( LI H C, FU Y, YE Q, et al. Network security situation element extraction method based on rough set[J]. Computer & Digital Engineering, 2015, 42 (3) : 436-439. )
[14] 陈林. 粗糙集中不同粒度层次下的并行约简及决策[D]. 金华: 浙江师范大学, 2013. ( CHEN L. Parallel reducts and decision in various levels of granularity[D]. Jinhua: Zhejiang Normal University, 2013. ) http://cdmd.cnki.com.cn/Article/CDMD-10345-1014104908.htm
[15] KRAEMER J, SÜß H M. Real time validation of online situation awareness questionnaires in simulated approach air traffic control[J]. Procedia Manufacturing, 2015, 3 : 3152-3159. doi: 10.1016/j.promfg.2015.07.864
[16] AFKARI H, BEDNARIK R, MÄKELÄ S, et al. Mechanisms for maintaining situation awareness in the micro-neurosurgical operating room[J]. International Journal of Human-Computer Studies, 2016, 95 : 1-14. doi: 10.1016/j.ijhcs.2016.05.004
[17] PANTELI M, KIRSCHEN D S. Situation awareness in power systems: theory, challenges and applications[J]. Electric Power Systems Research, 2015, 122 : 140-151. doi: 10.1016/j.epsr.2015.01.008
[18] 刘玉岭, 冯登国, 连一峰, 等. 基于时空维度分析的网络安全态势预测方法[J]. 计算机研究与发展, 2014, 51 (8) : 1681-1694. ( LIU Y L, FENG D G, LIAN Y F, et al. Network situation prediction method based on spatial-time dimension analysis[J]. Journal of Computer Research and Development, 2014, 51 (8) : 1681-1694. )
[19] 姚书科. 网络安全态势要素指标体系研究[J]. 电子设计工程, 2012, 20 (13) : 85-88. ( YAO S K. Network security situation factor index system research[J]. Electronic Design Engineering, 2012, 20 (13) : 85-88. )
[20] 郭剑. 网络安全态势感知中态势要素获取技术的研究[D]. 沈阳: 东北大学, 2011. ( GUO J. Study the technology of extraction situation factor for network security situation awareness[D]. Shenyang: Northeastern University, 2011. )
[21] 赖积保, 王颖, 王慧强, 等. 基于多源异构传感器的网络安全态势感知系统结构研究[J]. 计算机科学, 2011, 38 (3) : 144-149, 158. ( LAI J B, WANG Y, WANG H Q, et al. Research on network security situation awareness system architecture based on multi-source heterogeneous sensors[J]. Computer Science, 2011, 38 (3) : 144-149, 158. )