朱 殊，劉麗霞，邱曉華

（武警工程大學(xué)信息工程系 西安 710086）

1 引言

隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展、網(wǎng)絡(luò)應(yīng)用的日益普及，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)逐漸成為人們生活中不可缺少的一部分。但隨之而來(lái)的，以網(wǎng)絡(luò)病毒、DoS/DDoS攻擊為主的網(wǎng)絡(luò)攻擊所造成的危害和損失也越來(lái)越大，并且向著組織嚴(yán)密化、目標(biāo)直接化和行為趨利化的方向發(fā)展。傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)方式諸如防火墻、防病毒、IDS等單一的被動(dòng)式網(wǎng)絡(luò)安全防護(hù)技術(shù)在面對(duì)海量的攻擊警告信息時(shí)，很難使管理員了解系統(tǒng)的真實(shí)安全狀態(tài)并及時(shí)采取合理的響應(yīng)措施。因此，如何形象、準(zhǔn)確地描繪當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)，已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域一個(gè)新的研究熱點(diǎn)。網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)，是用于對(duì)當(dāng)前以及未來(lái)一段時(shí)間內(nèi)的網(wǎng)絡(luò)安全狀態(tài)及形勢(shì)進(jìn)行定量和定性的評(píng)價(jià)，并對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)測(cè)和預(yù)警的新的安全技術(shù)。作為網(wǎng)絡(luò)安全態(tài)勢(shì)感知的一項(xiàng)重要部分，態(tài)勢(shì)預(yù)測(cè)能夠使系統(tǒng)管理員及時(shí)掌握網(wǎng)絡(luò)系統(tǒng)的變化趨勢(shì)，針對(duì)可能到來(lái)的攻擊做出切實(shí)有效的防御，從而提升系統(tǒng)的安全水平。

目前，常用的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)的方法主要有基于RBF（radial basis function，徑向基函數(shù)）神經(jīng)網(wǎng)絡(luò)的態(tài)勢(shì)預(yù)測(cè)方法、基于支持向量機(jī)的網(wǎng)絡(luò)攻擊態(tài)勢(shì)預(yù)測(cè)技術(shù)、基于Verhulst模型的態(tài)勢(shì)預(yù)測(cè)方法和Brynielsson J和Arnborg提出的基于貝葉斯網(wǎng)絡(luò)的態(tài)勢(shì)感知與預(yù)測(cè)模型等方法[1]。

基于RBF神經(jīng)網(wǎng)絡(luò)的態(tài)勢(shì)預(yù)測(cè)方法[2]，是通過(guò)訓(xùn)練RBF神經(jīng)網(wǎng)絡(luò)找出態(tài)勢(shì)值的前N個(gè)數(shù)據(jù)和隨后M個(gè)數(shù)據(jù)的非線性映射關(guān)系，進(jìn)而利用該關(guān)系進(jìn)行態(tài)勢(shì)值預(yù)測(cè)。但是，RBF算法還存在著一些不足：預(yù)測(cè)結(jié)果受所選取的數(shù)據(jù)影響較大，容易帶有個(gè)人主觀看法；預(yù)測(cè)結(jié)果需要專家進(jìn)行解讀，這要求管理員具有專門的知識(shí)。

為盡可能消除人為因素的影響，提出了根據(jù)云的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法：通過(guò)對(duì)歷史數(shù)據(jù)記錄進(jìn)行挖掘，從而得到系統(tǒng)的當(dāng)前狀況及變化趨勢(shì)，通過(guò)當(dāng)前狀態(tài)對(duì)未來(lái)狀態(tài)進(jìn)行預(yù)測(cè)，從而消除人為初始數(shù)據(jù)的選取對(duì)預(yù)測(cè)結(jié)果所造成的影響，增強(qiáng)預(yù)測(cè)結(jié)果的客觀性。

在基于云的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)算法中，預(yù)測(cè)規(guī)則的好壞對(duì)預(yù)測(cè)結(jié)果有著重要的影響，根據(jù)基于云的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)規(guī)則挖掘方法，在解決區(qū)間劃分導(dǎo)致游離在多區(qū)間之間的數(shù)據(jù)失去模糊特性和人為設(shè)置最小支持度和置信度閾值對(duì)預(yù)測(cè)規(guī)則造成主觀影響的問(wèn)題的基礎(chǔ)上，結(jié)合當(dāng)前系統(tǒng)趨勢(shì)，防止算法因預(yù)測(cè)規(guī)則孤立而出現(xiàn)預(yù)測(cè)錯(cuò)誤，從而得出更為精確的預(yù)測(cè)結(jié)果。

2 基于云的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)規(guī)則改進(jìn)挖掘算法

作為網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)的一項(xiàng)基礎(chǔ)，網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估通常是根據(jù)一定算法對(duì)感應(yīng)到的態(tài)勢(shì)指標(biāo)數(shù)據(jù)進(jìn)行處理，得出網(wǎng)絡(luò)安全態(tài)勢(shì)值。由于網(wǎng)絡(luò)威脅時(shí)序的混沌性和自相似性[3]，當(dāng)前網(wǎng)絡(luò)態(tài)勢(shì)指標(biāo)數(shù)據(jù)與態(tài)勢(shì)數(shù)據(jù)之間存在著某種聯(lián)系，歷史數(shù)據(jù)也與變化趨勢(shì)之間有著一定的關(guān)系。因此，如何從態(tài)勢(shì)指標(biāo)數(shù)據(jù)中挖掘出有用的信息，找出歷史數(shù)據(jù)記錄同變化趨勢(shì)之間的關(guān)系，以提供盡可能精確的預(yù)測(cè)結(jié)果，是基于云的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法中亟待解決的問(wèn)題。同時(shí)，如何使算法盡可能符合變化趨勢(shì)，在當(dāng)前狀態(tài)相同而變化方向不同的情況下也能得出正確的結(jié)論，是主要探討的問(wèn)題。因此，在一種基于云的預(yù)測(cè)規(guī)則挖掘算法中進(jìn)行了改進(jìn)，使預(yù)測(cè)結(jié)果更加貼近實(shí)際情況。

2.1 云的相關(guān)理論

1995年，我國(guó)的李德毅院士在傳統(tǒng)模糊數(shù)學(xué)理論和概率統(tǒng)計(jì)的基礎(chǔ)上提出了定性定量不確定性轉(zhuǎn)換模型——云模型。云的定義如下。

定義1 設(shè)U是一個(gè)用精確數(shù)值表示的定量論域，C是U上的定性概念，若定量值x∈[0，1]是具有穩(wěn)定傾向的隨機(jī)數(shù)，則x在論域U上的分布稱為云，每一個(gè)x稱為云滴[4]。

云的數(shù)字特征可以用3個(gè)數(shù)值表示：期望值Ex、熵En和超熵He。

·期望Ex：云滴在論域空間分布的期望，是最能代表定性概念的點(diǎn)，也是這個(gè)概念量化的最典型樣本。

·熵En：定性概念的不確定性度量，由概念的隨機(jī)性和模糊性共同決定。一方面，En是定性概念隨機(jī)性的度量，反映了能夠代表這個(gè)定性概念的云滴的離散程度；另一方面，又是定性概念亦此亦彼性的度量，反映了論域空間中可被概念接受的云滴的取值范圍。

·超熵He：熵的不確定性度量，即熵的熵。超熵的大小間接地反映了云的厚度。超熵越大，云滴離散度越大，隸屬度的隨機(jī)性越大，云的厚度越大。超熵由熵的隨機(jī)性和模糊性共同決定。

云模型是定性和定量之間的轉(zhuǎn)換模型，一般通過(guò)云發(fā)生器實(shí)現(xiàn)。云發(fā)生器一般可以分為正向云發(fā)生器和逆向云發(fā)生器。正向云發(fā)生器是一個(gè)前向的、直接的過(guò)程，根據(jù)云的期望值Ex、熵En和超熵He以及所需的云滴數(shù)，實(shí)現(xiàn)將定性概念轉(zhuǎn)換為定量數(shù)值；逆向云發(fā)生器則是正向云發(fā)生器的逆過(guò)程，通過(guò)輸入已知的精確數(shù)據(jù)，將其轉(zhuǎn)換為定性的概念，并得到其數(shù)字特征，完成從定量數(shù)值到定性概念的轉(zhuǎn)換。

2.2 云的網(wǎng)絡(luò)安全態(tài)勢(shì)屬性區(qū)間劃分

因?yàn)榫W(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估涉及多個(gè)指標(biāo)，本文選取攻擊的威脅程度這一指標(biāo)進(jìn)行研究，設(shè) A（t）={A1，A2，A3，…，An}表示 IDS 檢測(cè)到的 n 種事件的數(shù)量，B（t）={B1，B2，B3，…，Bn}表示n種事件所對(duì)應(yīng)的威脅等級(jí)，則當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)值 F（Ai，Bi）可以由式（2）計(jì)算：

計(jì)算出的網(wǎng)絡(luò)安全態(tài)勢(shì)值 F（Ai，Bi）結(jié)果越大，說(shuō)明網(wǎng)絡(luò)越不安全。

因?yàn)榫W(wǎng)絡(luò)安全態(tài)勢(shì)感知中獲取的數(shù)據(jù)都是連續(xù)的數(shù)據(jù)，為便于計(jì)算，需要將它們轉(zhuǎn)化為離散值，將連續(xù)的數(shù)據(jù)值按照性質(zhì)劃分到不同的區(qū)間之內(nèi)，完成定量到定性的轉(zhuǎn)換。設(shè) T={T1，T2，T3，…，Tn}是一組時(shí)序態(tài)勢(shì)數(shù)據(jù)值，Ti表示 i時(shí)刻系統(tǒng)感知到的態(tài)勢(shì)數(shù)據(jù)，而 K={K1，K2，K3，…，Km}則表示T通過(guò)云變換所轉(zhuǎn)換過(guò)來(lái)的定性的m個(gè)區(qū)間，Kj表示具體的一個(gè)指標(biāo)區(qū)間，C={C1（Ex1，En1，He1），C2（Ex2，En2，He2），C3（Ex3，En3，He3），…，Cm（Exm，Enm，Hem）}則表示 K 所對(duì)應(yīng)的云模型的概念集合，Cj表示Kj屬性在云模型中概念的數(shù)字特征，每一個(gè)指標(biāo)區(qū)間都對(duì)應(yīng)唯一一個(gè)云模型。另外，設(shè)ΔT={ΔT1，ΔT2，ΔT3，…,ΔTn}是時(shí)序態(tài)勢(shì)數(shù)值在選取的一個(gè)時(shí)間段內(nèi)的變化情況，Ti表示從i-Δt到i時(shí)刻態(tài)勢(shì)數(shù)據(jù)的變化趨勢(shì)，用兩點(diǎn)之間直線斜率的余弦值加1表示，而ΔK={ΔK1，ΔK2，ΔK3，…，ΔKS}則表示 ΔT 通過(guò)云變換所轉(zhuǎn)換過(guò)來(lái)的定性的概念，ΔKl表示具體的一個(gè)概念，ΔC={ΔC1（Ex1，En1，He1），ΔC2（Ex2，En2，He2），ΔC3（Ex3，En3，He3），… ，ΔCm（Exm，Enm，Hem）}則表示 ΔK 所對(duì)應(yīng)的云模型的概念集合，ΔCj表示ΔKj屬性在云模型中概念的數(shù)字特征，每一個(gè)指標(biāo)區(qū)間也都與云模型一一對(duì)應(yīng)。

在計(jì)算過(guò)程中，時(shí)序態(tài)勢(shì)數(shù)值T和時(shí)序態(tài)勢(shì)數(shù)值變化率ΔT中的值可能同時(shí)屬于多個(gè)云模型，這些值被稱為邊界值，邊界值的歸屬云由它對(duì)各個(gè)云的隸屬度決定，邊界值對(duì)哪個(gè)云的隸屬度大，該邊界值就屬于哪個(gè)云模型。這樣，可以在運(yùn)算過(guò)程中減少人為干擾，增強(qiáng)結(jié)果的客觀性。

同時(shí)，隨著數(shù)據(jù)量的增大，必須不斷對(duì)論域進(jìn)行調(diào)整，以使得指標(biāo)區(qū)間能夠準(zhǔn)確地表達(dá)出攻擊威脅度的性質(zhì)，反映出網(wǎng)絡(luò)的真實(shí)態(tài)勢(shì)情況。

2.3 改進(jìn)的ORAR算法

云模型改進(jìn)優(yōu)化規(guī)則關(guān)聯(lián) （optimization relation association rule,ORAR）算法是通過(guò)建立關(guān)聯(lián)矩陣R使整個(gè)預(yù)測(cè)過(guò)程只需進(jìn)行少量次數(shù)的數(shù)據(jù)庫(kù)掃描。其基本思想是：把感知數(shù)據(jù)通過(guò)云變換轉(zhuǎn)換為用云模型來(lái)表示的定性概念，把連續(xù)的態(tài)勢(shì)數(shù)據(jù)轉(zhuǎn)換成離散的數(shù)據(jù)。在此基礎(chǔ)上，依據(jù)所建立的關(guān)系矩陣R，選取合適的k-1大項(xiàng)集，并由此計(jì)算出k項(xiàng)集，通過(guò)所設(shè)定的最小支持度閾值min sup篩選出k-1大項(xiàng)集，然后，根據(jù)所設(shè)定的最小置信度閾值min conf，輸出置信度conf大于min conf的規(guī)則。本文在ORAR算法的基礎(chǔ)上，針對(duì)ORAR算法的結(jié)果與變化趨勢(shì)相孤立，有時(shí)無(wú)法得出正確預(yù)測(cè)結(jié)果的情況，在生成規(guī)則后，結(jié)合系統(tǒng)當(dāng)前趨勢(shì)對(duì)預(yù)測(cè)規(guī)則進(jìn)行分析，并對(duì)其做出合理修正，從而獲得較為精確的預(yù)測(cè)結(jié)果。改進(jìn)ORAR算法流程如圖1所示。

改進(jìn)的ORAR算法的步驟如下。

（1）劃分概念區(qū)間：設(shè) D={D1，D2，D3，…，Dn}是攻擊的威脅程度指標(biāo)集合，N={N1，N2}則是網(wǎng)絡(luò)安全態(tài)勢(shì)值的集合，N1表示當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)值的集合，而N2表示所要預(yù)測(cè)的、N1下一時(shí)刻的網(wǎng)絡(luò)安全態(tài)勢(shì)值的集合。將D通過(guò)云變換轉(zhuǎn)化為云模型的定性集 CDi={CD1，CD2，CD3，…，CDk}。將 N也通過(guò)云變換轉(zhuǎn)化為云模型的定性集合CN={C1，C2，C3，…，Cn}，從而完成定量到定性的概念變換。

（2）建立關(guān)系矩陣：通過(guò)云的極大值判別法計(jì)算各數(shù)值對(duì)云模型概念的隸屬度，將數(shù)值歸屬到合適的云概念中，建立關(guān)系矩陣RDi。

（3）循環(huán)進(jìn)行步驟（1）和步驟（2），進(jìn)行概念區(qū)間的劃分和建立關(guān)系矩陣，得到與指標(biāo)集合D相關(guān)的云模型的概念集合 CD={CD1，CD2，CD3，…，CDm} 和關(guān)系矩陣的集合 RD={RD1，RD2，RD3，…，RDm}；態(tài)勢(shì)值集合 N 的云模型概念集合CN={C1，C2，C3，…，CN}和關(guān)系矩陣的集合 RT={R1，R2}。

（4）將關(guān)系矩陣RD和RT合并，得到關(guān)系矩陣集合R={RD1，RD2，RD3，…，RDm，R1，R2}。

（5）1大項(xiàng)集的生成：輸入關(guān)系矩陣R和最小支持度閾值min sup，對(duì)關(guān)系矩陣R進(jìn)行搜索，運(yùn)用ORAR1算法篩選出支持度sup≥min sup的項(xiàng)集，從而獲得1大項(xiàng)集，并將1大項(xiàng)集納入大項(xiàng)集的集合O中。

圖1 改進(jìn)ORAR算法流程

（6）2大項(xiàng)集的生成：對(duì)關(guān)系矩陣R進(jìn)行搜索，運(yùn)用ORAR2算法在步驟（5）中得出的1大項(xiàng)集中篩選出支持度sup≥min sup的項(xiàng)集，從而得到2大項(xiàng)集，并將2大項(xiàng)集納入大項(xiàng)集的集合O中。

（7）k大項(xiàng)集的生成：當(dāng)k>2時(shí)，對(duì)關(guān)系矩陣R進(jìn)行搜索，運(yùn)用ORAR k算法在k-1大項(xiàng)集中篩選出支持度sup≥min sup的項(xiàng)集，從而生成k大項(xiàng)集，并將k大項(xiàng)集納入大項(xiàng)集的集合O中。

（8）生成規(guī)則：輸入最小置信度閾值 min conf，計(jì)算集合O中大項(xiàng)集中產(chǎn)生的預(yù)測(cè)規(guī)則的置信度conf，篩選出置信度conf≥min conf的預(yù)測(cè)規(guī)則。

（9）計(jì)算變化趨勢(shì)：計(jì)算出i時(shí)刻系統(tǒng)狀態(tài)在i-Δt到i時(shí)刻內(nèi)的變化趨勢(shì)，并觀察屬于哪一變化區(qū)間。

（10）將變化區(qū)間與步驟（8）中的預(yù)測(cè)規(guī)則相結(jié)合，分析出最終的預(yù)測(cè)結(jié)果。

3 實(shí)驗(yàn)與分析

3.1 實(shí)驗(yàn)數(shù)據(jù)和定義概念

實(shí)驗(yàn)數(shù)據(jù)來(lái)源于某局域網(wǎng)中IDS所采集到的威脅警報(bào)數(shù)據(jù)，從中選取威脅警報(bào)數(shù)A和攻擊警報(bào)總數(shù)I進(jìn)行分析，根據(jù)式（2）計(jì)算出網(wǎng)絡(luò)安全態(tài)勢(shì)值F。網(wǎng)絡(luò)安全態(tài)勢(shì)如圖2所示，點(diǎn)A表示i=335時(shí)的網(wǎng)絡(luò)安全態(tài)勢(shì),點(diǎn)B表示i=421時(shí)的態(tài)勢(shì)。

圖2 網(wǎng)絡(luò)安全態(tài)勢(shì)

攻擊對(duì)系統(tǒng)的威脅程度由攻擊警報(bào)數(shù)決定，攻擊警報(bào)數(shù)越大，表明攻擊對(duì)系統(tǒng)的威脅越大，威脅等級(jí)越高。利用云的概念區(qū)間劃分方法將攻擊威脅分為3個(gè)等級(jí)：輕微威脅、一般威脅、嚴(yán)重威脅；網(wǎng)絡(luò)安全態(tài)勢(shì)分為3個(gè)等級(jí)：安全程度高、安全程度中、安全程度低；網(wǎng)絡(luò)安全趨勢(shì)分為3個(gè)等級(jí)：形勢(shì)好轉(zhuǎn)、形勢(shì)穩(wěn)定、形勢(shì)惡化。表1給出了云模型中各概念的數(shù)字特征。

表1 各概念的數(shù)字特征

3.2 實(shí)驗(yàn)結(jié)果

根據(jù)改進(jìn)的ORAR算法對(duì)數(shù)據(jù)進(jìn)行挖掘，選擇的最小支持度閾值min sup=0.034 2，最小置信度閾值min conf=0.616 4，得出如下6個(gè)預(yù)測(cè)規(guī)則：

· 掃描威脅輕微，總體威脅一般，安全程度低→安全

程度中，{sup=0.060 9，conf=0.642 1}；

· 掃描威脅輕微，總體威脅嚴(yán)重，安全程度中→安全

程度低，{sup=0.037 3，conf=0.636 7}；

· 掃描威脅輕微，總體威脅嚴(yán)重，安全程度低→安全

程度低，{sup=0.060 6，conf=0.762 5}；

· 掃描威脅一般，總體威脅輕微，安全程度低→安全

程度中，{sup=0.038 2，conf=0.603 3}；

· 掃描威脅嚴(yán)重，總體威脅嚴(yán)重，安全程度中→安全

程度低，{sup=0.030 6，conf=0.813 1}；

· 掃描威脅嚴(yán)重，總體威脅嚴(yán)重，安全程度低→安全

程度低，{sup=0.051 4，conf=0.771 6}。

3.3 結(jié)果分析

實(shí)驗(yàn)數(shù)據(jù)見(jiàn)表2。

表2表明，點(diǎn)A和點(diǎn)B的安全狀態(tài)相同，點(diǎn)A下一時(shí)刻的預(yù)測(cè)規(guī)則1為{掃描威脅輕微，總體威脅一般，安全程度低→安全程度中}，同時(shí)，點(diǎn)A的網(wǎng)絡(luò)安全趨勢(shì)為形勢(shì)好轉(zhuǎn)，與預(yù)測(cè)規(guī)則相同，因此可以判斷點(diǎn)A的下一時(shí)刻網(wǎng)絡(luò)安全程度為中，這與現(xiàn)實(shí)情況相同。而點(diǎn)B的下一時(shí)刻的預(yù)測(cè)規(guī)則為{掃描威脅輕微，總體威脅一般，安全程度低→安全程度中}，但是點(diǎn)B狀態(tài)下的網(wǎng)絡(luò)安全趨勢(shì)為形勢(shì)惡化，綜合來(lái)看，判斷點(diǎn)B下一時(shí)刻的網(wǎng)絡(luò)安全程度為低，這與實(shí)際結(jié)果相同?？梢钥吹剑诓捎迷惴ǖ那闆r下，由于沒(méi)有考慮網(wǎng)絡(luò)安全趨勢(shì)的變化，對(duì)點(diǎn)A和點(diǎn)B的預(yù)測(cè)規(guī)則相同，但由于二者網(wǎng)絡(luò)安全趨勢(shì)不同，造成了實(shí)際結(jié)果的不同，使算法在預(yù)測(cè)點(diǎn)B時(shí)出現(xiàn)錯(cuò)誤，而在改進(jìn)算法下，因?yàn)槌浞挚紤]到網(wǎng)絡(luò)趨勢(shì)變化情況，避免了預(yù)測(cè)規(guī)則的孤立，從而得出了較為精確的結(jié)果。但是，在預(yù)測(cè)規(guī)則與趨勢(shì)變化結(jié)果相沖突時(shí)，需要引入人為影響，這在一定程度上降低了算法的客觀性。

表2 實(shí)驗(yàn)數(shù)據(jù)

4 結(jié)束語(yǔ)

將網(wǎng)絡(luò)安全態(tài)勢(shì)感知和云理論結(jié)合起來(lái)，針對(duì)現(xiàn)有的基于云的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)規(guī)則挖掘算法予以改進(jìn)，使算法與實(shí)際結(jié)合更加緊密，結(jié)果更加精確。因?yàn)閷?shí)驗(yàn)中驗(yàn)證的數(shù)據(jù)較少，因此對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的發(fā)展預(yù)測(cè)還僅限于局部。當(dāng)提供的數(shù)據(jù)量增加時(shí)，預(yù)測(cè)規(guī)則的數(shù)量將同時(shí)得到提高，預(yù)測(cè)結(jié)果也將更加精確。但是，如何將算法應(yīng)用于實(shí)際以及如何解決算法中兩方結(jié)論沖突時(shí)的決策問(wèn)題，仍然需要做進(jìn)一步的研究。

1 Chang K C,Saha R K,Yin X Y.A linear predictive bandwidth conservation algorithm for situation awareness.http://volgenau.gmu.edu/～kchang/publications/conference_pdf/CON_9_A_LINEAR.pdf,1998

2 任偉.網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估智能化研究.上海交通大學(xué)碩士學(xué)位論文，2007

3 宣蕾.網(wǎng)絡(luò)安全定量風(fēng)險(xiǎn)評(píng)估及預(yù)測(cè)技術(shù)研究.國(guó)防科學(xué)技術(shù)大學(xué)博士學(xué)位論文，2007

4 李德毅，杜鹢.不確定性人工智能.北京：國(guó)防工業(yè)出版社，2005

5 郝樹(shù)勇.基于云的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)研究.國(guó)防科學(xué)技術(shù)大學(xué)碩士學(xué)位論文，2010

6 葉瓊，李紹穩(wěn)，張友華等.云模型及應(yīng)用綜述.計(jì)算機(jī)工程與設(shè)計(jì)，2011,32(12)：4198～4201

7 周文秀.關(guān)聯(lián)規(guī)則挖掘算法的研究與改進(jìn).武漢理工大學(xué)碩士學(xué)位論文，2008