基于并行約簡的網絡安全態勢要素提取方法

趙冬梅,李 紅

1.河北師范大學 信息技術學院, 石家莊 050024; 2.河北省網絡與信息安全重點實驗室, 石家莊 050024;3.河北師范大學 數學與信息科學學院,石家莊 050024)(*通信作者電子郵箱heblihong@126.com)

基于并行約簡的網絡安全態勢要素提取方法

趙冬梅1,2,李 紅2,3*

1.河北師范大學 信息技術學院, 石家莊 050024; 2.河北省網絡與信息安全重點實驗室, 石家莊 050024;3.河北師范大學 數學與信息科學學院,石家莊 050024)(*通信作者電子郵箱heblihong@126.com)

網絡安全態勢要素選取的質量對網絡安全態勢評估的準確性起到至關重要的作用,而現有的網絡安全態勢要素提取方法大多依賴先驗知識,并不適用于處理網絡安全態勢數據。為提高網絡安全態勢要素提取的質量與效率,提出一種基于屬性重要度矩陣的并行約簡算法,在經典粗糙集基礎上引入并行約簡思想,在保證分類不受影響的情況下,將單個決策信息表擴展到多個,利用條件熵計算屬性重要度,根據約簡規則刪除冗余屬性,從而實現網絡安全態勢要素的高效提取。為驗證算法的高效性,利用Weka軟件對數據進行分類預測,在NSL-KDD數據集中，相比利用全部屬性，通過該算法約簡后的屬性進行分類建模的時間縮短了16.6%；對比評價指標發現,相比現有的三種態勢要素提取算法(遺傳算法(GA)、貪心式搜索算法(GSA)和基于條件熵的屬性約簡(ARCE)算法)，該算法具有較高的召回率和較低的誤警率。實驗結果表明，經過該算法約簡的數據具有更好的分類性能,實現了網絡安全態勢要素的高效提取。

網絡安全態勢;要素提取;屬性重要度矩陣;粗糙集

0 引言

網絡安全態勢感知(Situation Awareness, SA)技術作為一種主動防御的網絡安全技術彌補了傳統安全技術更新周期繁瑣、數據源單一、速度慢等缺點,網絡安全態勢要素作為網絡安全態勢感知系統的基礎,其質量的優劣直接影響整個安全系統的性能,如何從繁雜的網絡安全事件中提取態勢要素是國內外學者研究的重點問題。國外對網絡安全態勢要素的提取技術的研究伴隨著網絡態勢感知概念的提出而開始,美國科學應用國際公司信息保護中心的Bass[1]首次提出網絡態勢感知概念,通過數據精煉、對象精練、態勢精練三次抽象來獲取網絡安全態勢要素;美國國家能源研究科學計算中心的Lawrence Berkeley National Labs開發的“The Spinning Cube of Potential Doom”系統[2]以簡單網絡管理協議(Simple Network Management Protocol, SNMP)數據源為基礎，用旋轉的3D立體中點的顏色展示惡意的網絡流量，通過分析網絡連接狀況實現態勢要素的提取;但該系統態勢要素信息源單一，難以全面的評估網絡態勢狀況。美國國家高級安全系統研究中心將開發的Security Incident Fusion Tools[3]與專業人員的認知能力相結合從而實現網絡安全態勢要素提取；但該方法容易受到主觀因素影響。國內對網絡安全態勢要素提取相關研究起步較晚,前期在入侵檢測方面所做的相關工作為網絡安全態勢要素提取技術的研究奠定了基礎。為去除冗余特征、提高運算準確度,哈爾濱工程大學的王慧強等[4]提出一種基于進化神經網絡的態勢要素提取模型,通過將進化策略引入神經網絡提高模型的收斂速度和分類精度;李冬銀[5]建立了基于改進的粒子群優化(Improved Particle Swarm Optimization, IPSO)算法和邏輯斯諦回歸(Logistic Regression, LR)算法的態勢要素提取模型(LR-IPSO),利用IPSO全局尋優能力對LR的參數進行估算,從而提高學習精度與速度。針對網絡安全態勢要素多源異構的特點,司成等[6]提出一種基于本體的網絡安全態勢要素知識庫模型對態勢要素進行分類和提取;劉效武等[7]提出一種基于融合的網絡安全態勢認知感控模型,在模型中通過引入權系數生成理論對攻擊威脅因子進行排序從而實現態勢要素的提取。

上述研究方法在某些特定領域取得了一定的成效,但態勢要素提取過程中需要大量的先驗知識,而網絡安全領域中較難獲取先驗知識。為解決這一問題,網絡安全工作者提出將粗糙集(Rough Set, RS)理論引入網絡安全態勢感知研究中[8-12],充分利用粗糙集理論學習能力強，無需數據集以外的任何先驗知識的優勢進行安全態勢要素提取[13];然而經典的粗糙集模型只能處理少量的靜態數據,新增數據后往往需要對全部的數據進行重新計算,效率明顯降低,尤其面對巨大的數據量時,很難保證要素提取的實時性。能否及時準確提取要素直接影響網絡安全態勢評估質量,因此本文提出一種基于屬性重要度矩陣并行約簡算法,在經典粗糙集基礎上引入并行約簡思想[14],將單個決策信息表擴展到多個,利用條件熵構建屬性重要度矩陣,根據約簡規則刪除冗余屬性,從而實現網絡安全態勢要素的高效提取。

1 網絡安全態勢感知與網絡安全態勢要素提取

1.1 網絡安全態勢感知概念

態勢感知(SA)思想源于軍事中對敵我攻防態勢的評估,此后在空中交通監管領域[15]、醫療應急調度領域[16]及電力系統領域[17]等得到了廣泛的應用。網絡安全態勢感知概念[1]是將交通監管態勢感知的成熟理論與技術運用到網絡安全領域中,它是一個多方面的推理過程,獲取網絡安全態勢要素是該過程的基礎。

1.2 網絡安全態勢要素概念

網絡安全態勢要素指的是在多源異構數據源中大量存在的能夠引起網絡安全狀態發生變化的一系列基本元素[6],作為一個綜合性的概念網絡安全態勢要素涉及到大量異構格式的信息,根據數據來源的不同可以將網絡安全態勢要素分為網絡環境、網絡漏洞和網絡攻擊三種類別。其中網絡環境是網絡安全態勢要素發揮作用的基礎,由網絡安全設備和與網絡安全狀況相關的網絡拓撲與應用配置組成;網絡漏洞是網絡安全態勢要素的重要組成部分,包括漏洞屬性、漏洞對象,攻擊者通過掃描系統存在的缺陷,黑客利用這些缺陷實現非法訪問或侵權;網絡攻擊是網絡安全態勢要素的核心內容,也是網絡安全態勢面臨的主要威脅,包括攻擊工具、攻擊方法和攻擊結果等。網絡環境與網絡漏洞是網絡本身固有特征,對網絡安全態勢具有一定影響，但決定網絡安全態勢的關鍵在于網絡攻擊,因此本文研究的網絡安全要素提取主要針對網絡攻擊類型。

1.3 網絡安全態勢要素的選取

在真實的信息網絡實體中態勢感知的數據來源要全面和豐富[18-19],網絡安全態勢要素應涵蓋信息網絡的各個層次,從而為整個網絡安全態勢提供全面、準確的信息支持,選取的態勢要素應該具有以下特點:

1)覆蓋全面。從諸多的網絡安全態勢要素中選取的特征要素必須能全面反映網絡安全態勢的狀況,即依據所選取出來的態勢要素即可對整體網絡安全態勢狀況進行感知分析。

2)特征顯著。所選取的態勢要素要具有典型代表性,即根據態勢要素可以清晰準確地對樣本進行分類,且保證不同類別的樣本之間具有較大區分度。

3)易于提取。在保證分類性能不變的前提下,所提取的態勢要素的個數不宜過多,從而可以減少運算量,提高整體態勢感知的效率。

4)強魯棒性。當網絡安全態勢發生變化時,僅僅需要更新那些對應單元中的態勢要素值即可,且對于網絡安全態勢中的噪聲數據具有一定的處理能力。

網絡安全態勢要素提取是實現網絡安全態勢感知的基礎,網絡安全態勢要素選取的質量對網絡安全態勢評估的準確性起到至關重要的作用,從繁雜的網絡安全態勢信息中提取出符合要求的態勢要素是本文研究的重點內容,圖1展示的是網絡安全態勢要素提取的一般過程。

圖1 態勢要素提取的一般過程

2 基于并行約簡的態勢要素提取方法

網絡安全態勢要素提取的關鍵是能準確發現網絡中的異常信息,提取態勢要素的本質是一個屬性篩選過程,即通過約簡算法去除冗余屬性,從而提取出必要的網絡安全態勢要素[20]。網絡完全態勢要素信息具有數據量大且屬性數目多等特點[21]且不同屬性的類型混雜多樣,面對大量異構的網絡安全態勢要素信息,提取屬性集合成為網絡安全態勢要素提取的必要過程。現有的提取屬性集合的方法有主成分分析(Principal Component Analysis, PCA)法、奇異值分解(Singular Value Decomposition, SVD)法和粗糙集(RS)等,其中PCA和SVD不可避免地會損失一部分決策信息[20],而基于粗糙集的屬性約簡則沒有改變原始數據的決策規則。基于粗糙集的態勢要素提取過程如圖2所示。經典粗糙集模型是基于正域定義的[13],只能處理靜態且數據量較少的數據,為適應網絡安全態勢要素特點,本文通過對基于條件熵的屬性約簡算法進行改進,提出一種基于并行約簡的態勢要素提取方法。

圖2 基于粗糙集的態勢要素提取流程

原始網絡安全態勢數據經過連續屬性離散化、數據歸一化標準處理等預處理過程,形成態勢要素信息集合,即建立態勢要素決策表；根據約簡算法求取態勢要素核屬性,即態勢要素中不可刪除的屬性集合；之后對其余屬性根據約簡規則進行篩選,去除冗余屬性保留重要屬性,最終確定優化后的特征子集。

2.1 構建態勢要素信息集合

態勢要素信息決策系統T被定義為一個四元組T=〈U,R,V, f〉,其中:U表示態勢要素的樣本集合;R=C∪D是態勢要素屬性集合,C={C1,C2,…,Cn}為特征屬性集合;D={D1,D2,…,Dm}為決策屬性集合；V表示屬性的值域; f:U*R→V表示信息函數,它指定U中每一個對象x的屬性值。任意一個決策表S=〈U′,C∪D,V, f〉,如果滿足U′?U,稱為T的決策子表。

對于特征屬性集合C的一個子集A,刪除屬性a(?a∈A)或者添加任意一個其他屬性后未對原來的決策產生影響,那么該屬性為非必要屬性,可以進行約簡。具體描述如下:

對于特征屬性集合C的一個子集A,屬性a∈A,如果滿足刪除屬性a后對于屬性子集A的條件熵未受影響,即G(D|A)=G(D|A-{a}),或者屬性a∈C且a?A,往屬性子集A中增加屬性a,使得G(D|A∪{a})=G(D|A),那么屬性a在屬性子集A中是冗余的,可以約簡。

當且僅當特征屬性子集A?C滿足條件:1)對于任何子表S∈F,G(S,A;D)=G(S,C;D);2)對于任意的B?A至少存在一個子表S∈F使得G(S,B;D)

對于態勢要素信息的決策系統T,包含態勢要素特征屬性集合C相對于決策屬性D的全部必要特征屬性組成的集合稱為C相對于D的核,表示為CORED(C)。

2.2 建立態勢要素屬性重要度矩陣

如果屬性集合A是用來描述態勢要素信息樣本U中的條件屬性的子集之一,則Q在U上的劃分為：

U/IND(A)={Y1,Y2,…,Ym}

(1)

如果屬性集合g0gggggg是態勢要素決策屬性的子集之一,則P在U上的劃分為：

U/IND(d)={X1,X2,…,Xn}

(2)

則D關于A的條件熵G(D|A)定義為：

(3)

態勢要素信息的決策系統T=〈U,C∪D〉,P(T)表示T的所有子表,F?P(T),特征屬性子集A?C,A關于F的相對于D的屬性重要度矩陣為:

(4)

其中:σij=σ(aj,Ui)=Gi(A;D)-Gi(A-{aj};D),aj∈B,(Ui,C,D)∈F,F中子決策表的個數為n,T中屬性的個數為m。

(5)

在矩陣M(A,D,F)或M′(A,D,F)中每一行表示同一個決策子表中不同屬性相對于決策屬性D的分類能力,每一列表示不同決策子表上同一個屬性相對于決策屬性D的分類能力。由上述理論可知M(C,D,F)矩陣中任意大于0的元素對應的屬性是其子表的核屬性,因此M(A,D,F)矩陣中某一列元素全大于0,則該列對應的屬性為并行約簡的核屬性,即必要特征屬性集合。

2.3 算法描述

基于并行約簡的態勢要素提取算法的主要思想:首先根據態勢要素特征屬性集合C建立的屬性重要度矩陣M(C,D,F)計算并行約簡的核屬性B,之后計算矩陣M′(B,D,F),并將M′(B,D,F)中不為0元素個數最多的列對應的特征屬性加入到核屬性B中形成屬性集合P,重復以上步驟,直到M′(A,D,F)中的元素均為0,此時集合P為次優約簡結果,然后依次刪除次優約簡集合P中的每個屬性并計算刪除屬性后的條件熵,如果仍等于G(D|P),則刪除該屬性,重復此步驟直到遍歷次優約簡集合P中的每一個屬性,此時得到的屬性集合即為最優約簡集合,即所求的必要的特征屬性集合。基于屬性重要度矩陣的并行約簡算法(ParallelReductionAlgorithmbasedonMatrixofAttributeImportance,PRAMAI)具體實現步驟如下所示:

1)求態勢要素信息系統的核屬性B。

態勢要素信息系統的核屬性中的每一個屬性都是某兩個屬于不同決策類別的對象的唯一不同的條件屬性,是約簡集合中必不可少的屬性集合。具體步驟見算法1。

算法1 求核屬性。

輸入:態勢要素信息系統T=〈U,R,V,f〉,P(T)表示T的所有子表P(T),F?P(T)。

輸出:核屬性集合B。

a)根據式(4)計算屬性重要度矩陣M(C,D,F)。

b)計算F中所有決策子表的屬性核core(B):

(6)

c)輸出核屬性集合B，算法結束。

2)求態勢要素信息系統的次優約簡屬性P。

求態勢要素信息系統的次優約簡是整個算法的關鍵步驟,次優約簡P的屬性個數直接影響求取最優約簡屬性集合的工作量。具體步驟見算法2。

算法2 求次優約簡屬性集合。

輸入:態勢要素信息系統T=〈U,R,V,f〉,T的所有子表P(T),F?P(T),核屬性B。

輸出:次優約簡屬性集合P。

a)令P=B。

b)E=C-P。

c)重復以下步驟,直到E=?或者G(D|P)=G(D|C)：

對于?ak∈E(k=1,2,…,n),計算M′(P,D,F);

選擇屬性重要度非零且值最大的屬性ak∈E,P=P∪{ak},E=E-{ak}(將屬性重要度非零且值最大的屬性添加到集合P中)。

d)輸出次優約簡屬性集合P，算法結束。

3)求態勢要素信息系統的最優約簡V。

為進一步刪除態勢要素信息系統冗余屬性,在次優約簡基礎上重新掃描并依次刪除冗余屬性。具體步驟見算法3。

算法3 求最優約簡屬性集合。

輸入:態勢要素信息系統T=〈U,R,V,f〉,次優約簡屬性P。

輸出:最優約簡屬性集合V。

a)令V=P。

b)計算G(D|P)。

c)對于?vi∈V,重復以下步驟:

計算G(D|V-{vi});

如果G(D|V-{vi})=G(D|P),V=V-{vi}。

d)輸出最優約簡屬性集合V，算法結束。

2.4 實例分析

假設態勢要素信息系統T={T1,T2},決策子系統T1=〈U1,C∪D,V,f〉,決策子系統T2=〈U2,C∪D,V,f〉,U1={x1,x2,x3,x4},U2={x5,x6,x7,x8,x9,x10},分別表示4個、6個網絡安全態勢狀況,特征屬性C={a1,a2,a3},表示網絡狀況;決策屬性D=g0gggggg,表示網絡安全是否受到威脅;T1、T2如表1～2所示。

第1步 求態勢要素信息系統的核屬性B。

1)計算屬性重要度σij,得

2)從屬性重要度矩陣可以明顯看出,兩個決策子系統中屬性a1的重要度均不為0,根據式(6)可以判定核屬性為B={a1},即屬性a1為不可刪除屬性,此時G(D|B)≠G(D|C)。

第2步 求態勢要素信息系統的次優約簡。

2)屬性a3屬性重要度為0,因此將屬性a3從集合中刪除,屬性a2重要度不為0且值最大,因此將屬性a2加入到P中,此時E=?,P={a1,a2}且G(D|P)=G(D|C),此時P={a1,a2}就是C相對于D的一個次優約簡結果。

第3步 求態勢要素信息系統的最優約簡V。

1)P={a1,a2},根據式(3)計算得G(D|P)=0,令V=P。

2)G(D|V-{a1})=G(D|{a2})=0.240 82≠G(D|P), 所以a1是必要屬性。

G(D|V-{a2})=G(D|{a1})=0.165 86≠G(D|P),所以a2是必要屬性。

3)V={a1,a2}中所有屬性都是必要屬性,即V是獨立的;又因為G(D|V)=G(D|C),因此集合V為態勢要素信息系統的一個約簡,且其中不含任何冗余屬性,因此V={a1,a2}為態勢要素信息系統的一個最優約簡。

表1 決策子系統T1

表2 決策子系統T2

3 實驗與分析

3.1 實驗數據集及環境

本文實驗數據選自數據集NSL-KDD數據集,NSL-KDD數據集是KDD99數據集的精煉數據集,共包含41個條件屬性和1個標簽屬性。標簽屬性為:Probe、DoS、U2R、R2L和Normal五種類型。實驗環境為:Windows7操作系統,2.13GHz處理器,4GB內存。實驗工具包括:ROSETTA、Matlab2010a、WEKA3.9。

3.2 性能指標

本文將召回率Recall和誤警率FalsePositive作為檢測性能的評價指標:

(7)

(8)

其中:TP為正樣本個數,FN為負樣本個數,FP為分類到正樣本中負樣本的個數。

3.3 實驗結果分析

NSL-KDD數據集中數據類型為混合型,實驗前需要對數據進行預處理,為消除各屬性量綱不一致的影響,首先對數據進行標準歸一化處理,其次利用ROSETTA中的BooleanReasoning算法對數據集中32個連續型屬性進行離散化處理。經本文算法篩選后特征屬性為10個,用全部屬性數據集與約簡后屬性數據集分別訓練分類器,表3 中展示的是使用全部屬性(包含41個屬性和1個決策屬性)、經過本文算法約簡后的屬性對NSL-KDD數據集進行檢測的對比結果。

表3 全部屬性和約簡后屬性檢測性能對比結果

由表3可以看出：本文算法約簡后的屬性集合訓練的分類器與用全部屬性集合訓練的分類器相比，在對攻擊類型的檢測上均有較高的召回率和較低的誤警率,且經過約簡后的數據集在建立分類模型時時間縮短16.6%。在NSL-KDD數據集中DoS攻擊類型的數據通常具有連接持續時間較長且源主機與目的主機之間的數據字節數較大等特點,這是由于攻擊對象持續對目標主機進行資源侵占,但現實網絡中由于對目標主機或服務器的訪問量大也會出現上述數據特點,因此模型在分類時容易將正常的數據歸為DoS類型攻擊,導致召回率較低,但在其余四種攻擊類型的判斷中均具有較好的性能。總體上來看經過本文算法約簡后的數據集合在分類性能上更優越，并且對于攻擊類型的檢測上耗時少、準確率高,這說明該算法可以有效去除冗余屬性,提高分類性能。

圖3中展示的是通過遺傳算法(GeneticAlgorithm,GA)、貪心式搜索算法(GreedySearchAlgorithm,GSA)、基于條件熵的屬性約簡(AttributeReductionbasedonConditionalEntropy,ARCE)算法和本文算法選擇的屬性分別對網絡數據進行檢測的對比結果,分類器分別采用了Lib-SVM和BayerNet。

圖3 幾種算法分類器分類結果對比

從圖3可看出,經過本文算法處理過的數據相比其他約簡算法處理過的數據在不同的分類器下都表現出了較高的召回率,實驗結果表明,本文算法適用于不同的分類器,并且網絡安全態勢要素提取性能更好。

4 結語

本文對國內在網絡安全態勢要素提取方面所做的工作進行了研究分析,并從中總結發現現有的研究方法在要素提取過程中過多依賴先驗知識。為此，在分析網絡安全態勢要素的特點基礎上提出一種基于屬性重要度矩陣的并行約簡算法進行網絡安全態勢要素提取,該方法解決了經典粗糙集模型在屬性約簡過程中只能處理少量靜態數據的問題,經過本文算法處理的數據集與原數據集相比在對攻擊類型的建模上時間明顯縮短,且具有較高的召回率與較低的誤警率,實現了對網絡安全態勢要素的高效提取。

)

[1]BASST.Multisensordatafusionfornextgenerationdistributedintrusiondetectionsystems[EB/OL]. [2016- 03- 10].http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.51.1753.

[2]STEPHENL.Thespinningcubeofpotentialdoom[J].CommunicationsoftheACM, 2004,47(6):25-26.

[3]YURCIKW.VisualizingNetFlowsforsecurityatlinespeed:theSIFTtoolsuite[C]//LISA2005:Proceedingsofthe19thConferenceonLargeInstallationSystemAdministrationConference.Berkeley,CA,USA:USENIXAssociation, 2005:169-176.

[4]WANGH,LIANGY,YEH.Anextractionmethodofsituationalfactorsfornetworksecuritysituationalawareness[C]//ICICSE2008:InternationalConferenceonInternetComputinginScienceandEngineering.Washington,DC:IEEEComputerSociety, 2008:317-320.

[5] 李冬銀. 基于Logistic回歸的網絡安全態勢要素獲取研究[D]. 福州:福州大學, 2014.(LIDY.Theresearchonsituationelementextractionofnetworksecuritybasedonlogisticregression[D].Fuzhou:FuzhouUniversity, 2014.)

[6] 司成, 張紅旗, 汪永偉, 等. 基于本體的網絡安全態勢要素知識庫模型研究[J]. 計算機科學, 2015, 42(5):173-177.(SIC,ZHANGHQ,WANGYW,etal.Researchonnetworksecuritysituationalelementsknowledgebasemodelbasedonontology[J].ComputerScience, 2015, 42(5):173-177.)

[7] 劉效武, 王慧強, 呂宏武, 等.網絡安全態勢認知融合感控模型[J]. 軟件學報, 2016, 27(8):2099-2114.(LIUXW,WANGHQ,LYUHB,etal.Fusion-basedcognitiveawareness-controlmodelfornetworksecuritysituation[J].JournalofSoftware, 2016, 27(8):2099-2114.)

[8]LIN,CHENZ,ZHOUG.Networktrafficclassificationusingroughsettheoryandgeneticalgorithm[C]//ICIC2006:Proceedingsofthe2006InternationalConferenceonIntelligentComputing.Berlin:Springer, 2006:945-950.

[9] 梁穎, 王慧強, 賴積保. 一種基于粗糙集理論的網絡安全態勢感知方法[J]. 計算機科學, 2007, 34(8):95-97.(LIANGY,WANGHQ,LAIJB.Amethodofnetworksecuritysituationawarenessbasedonroughsettheory[J].ComputerScience, 2007, 34(8):95-97.)

[10] 費洪曉, 胡琳. 一種粗糙集-決策樹結合的入侵檢測方法[J]. 計算機工程與應用, 2012, 48(22):124-128.(FEIHX,HUL.Combinedroughsetanddecisiontreemethodforintrusiondetection. [J].ComputerEngineeringandApplications, 2012, 48(22):124-128.)

[11] 何偉娜, 褚龍現, 姜建國. 混合型數據庫中入侵檢測技術仿真[J]. 計算機仿真, 2015, 32(11):425-428.(HEWN,CHULX,JIANGJG.Simulationofintrusiondetectiontechnologyforhybriddatabase[J].ComputerSimulation, 2015, 32(11): 425-428.)

[12]LUANX,LIZ,LIUT.Anovelattributereductionalgorithmbasedonroughsetandimprovedartificialfishswarmalgorithm[J].Neurocomputing, 2015, 174:522-529.

[13] 李洪成, 付鈺, 葉清, 等.基于粗糙集定權的網絡安全態勢要素提取方法[J]. 計算機與數字工程, 2014, 42(3):436-439.(LIHC,FUY,YEQ,etal.Networksecuritysituationelementextractionmethodbasedonroughset[J].Computer&DigitalEngineering, 2015, 42(3):436-439.)

[14] 陳林.粗糙集中不同粒度層次下的并行約簡及決策[D]. 金華:浙江師范大學, 2013.(CHENL.Parallelreductsanddecisioninvariouslevelsofgranularity[D].Jinhua:ZhejiangNormalUniversity, 2013.)

[15]KRAEMERJ,Sü?HM.Realtimevalidationofonlinesituationawarenessquestionnairesinsimulatedapproachairtrafficcontrol[J].ProcediaManufacturing, 2015, 3:3152-3159.

[16]AFKARIH,BEDNARIKR,MKELS,etal.Mechanismsformaintainingsituationawarenessinthemicro-neurosurgicaloperatingroom[J].InternationalJournalofHuman-ComputerStudies, 2016, 95:1-14.

[17]PANTELIM,KIRSCHENDS.Situationawarenessinpowersystems:theory,challengesandapplications[J].ElectricPowerSystemsResearch, 2015, 122:140-151.

[18] 劉玉嶺, 馮登國, 連一峰, 等.基于時空維度分析的網絡安全態勢預測方法[J]. 計算機研究與發展, 2014, 51(8): 1681-1694.(LIUYL,FENGDG,LIANYF,etal.Networksituationpredictionmethodbasedonspatial-timedimensionanalysis[J].JournalofComputerResearchandDevelopment, 2014, 51(8): 1681-1694.)

[19] 姚書科. 網絡安全態勢要素指標體系研究[J]. 電子設計工程, 2012, 20(13):85-88.(YAOSK.Networksecuritysituationfactorindexsystemresearch[J].ElectronicDesignEngineering, 2012, 20(13): 85-88.)

[20] 郭劍. 網絡安全態勢感知中態勢要素獲取技術的研究[D]. 沈陽:東北大學, 2011.(GUOJ.Studythetechnologyofextractionsituationfactorfornetworksecuritysituationawareness[D].Shenyang:NortheasternUniversity, 2011.)

[21] 賴積保, 王穎, 王慧強, 等. 基于多源異構傳感器的網絡安全態勢感知系統結構研究[J]. 計算機科學, 2011, 38(3):144-149, 158.(LAIJB,WANGY,WANGHQ,etal.Researchonnetworksecuritysituationawarenesssystemarchitecturebasedonmulti-sourceheterogeneoussensors[J].ComputerScience, 2011, 38(3): 144-149, 158.)

ThisworkispartiallysupportedbytheNationalNaturalScienceFoundationofChina(61672206),theScienceandTechnologyProjectofHebeiProvince(15214706D).

ZHAO Dongmei, born in 1966, Ph. D., professor. Her research interests include network security, information security.

LI Hong, born in 1990, M. S. candidate. Her research interests include information security.

Approachtonetworksecuritysituationalelementextractionbasedonparallelreduction

ZHAODongmei1,2,LIHong2,3*

(1.CollegeofInformationTechnology,HebeiNormalUniversity,ShijiazhuangHebei050024,China;2.HebeiKeyLaboratoryofNetworkandInformationSecurity,ShijiazhuangHebei050024,China;3.CollegeofMathematicsandInformationScience,HebeiNormalUniversity,ShijiazhuangHebei050024,China)

The quality of network security situational element extraction plays a crucial role in network security situation assessment. However, most of the existing network security situational element extraction methods rely on prior knowledge, and are not suitable for processing network security situational data. For effective and accurate extraction of network security situational elements, a parallel reduction algorithm based on matrix of attribute importance was proposed. The parallel reduction was introduced into classical rough set, then a single decision information table was expanded to multiple ones without affecting the classification. The conditional entropy was used to calculate attribute importance, and the redundant attributes were deleted according to reduction rules, thus the network security situational elements were extracted efficiently. In order to verify the efficiency of the proposed algorithm, the classification prediction was implemented on Weka. Compared with the usage of all the attributes, the classification modeling time on NSL-KDD dataset was reduced by 16.6% by using the attributes reduced by the proposed algorithm. Compared with the existing three element extraction algorithms (Genetic Algorithm (GA), Greedy Search Algorithm (GSA), and Attribute Reduction based on Conditional Entropy (ARCE) algorithm), the proposed algorithm has higher recall rate and low false positive rate. The experimental results show that the data set reduced by the proposed algorithm has better classification performance, which realizes an efficient extraction of network security situational elements.

network security situation; element extraction; matrix of attribute importance; Rough Set (RS)

2016- 11- 04;

2016- 12- 21。

國家自然科學基金資助項目(61672206); 河北省科技計劃項目(15214706D)。

趙冬梅(1966—),女,河北深州人,教授,博士,CCF會員,主要研究方向:網絡安全、信息安全; 李紅(1990—),女,河北衡水人,碩士研究生,CCF會員,主要研究方向:信息安全。

1001- 9081(2017)04- 1008- 06

10.11772/j.issn.1001- 9081.2017.04.1008

TP

A