蓋偉麟，辛 丹，王 璐，劉 欣，胡建斌

(北京大學 a. 軟件與微電子學院；b. 信息科學技術學院，北京 100871)

態(tài)勢感知中的數(shù)據(jù)融合和決策方法綜述

蓋偉麟a，辛 丹a，王 璐b，劉 欣a，胡建斌b

(北京大學 a. 軟件與微電子學院；b. 信息科學技術學院，北京 100871)

在賽博空間態(tài)勢感知的相關研究中，處理不確定、不精確的多源異構信息是態(tài)勢認識過程中需要解決的一個重要問題。為正確處理這些信息，提高對態(tài)勢的認識，使得到的態(tài)勢更具有正確性、時效性和全局性，研究數(shù)據(jù)融合方式和決策方式等現(xiàn)存的處理技術并進行綜述。數(shù)據(jù)融合包含貝葉斯網(wǎng)絡、D-S證據(jù)理論、粗糙集理論、神經(jīng)網(wǎng)絡、隱馬爾科夫模型及馬爾科夫博弈論等方式，決策方式涵蓋認知心理學、邏輯學、風險管理等。研究結果表明，目前的技術焦點呈現(xiàn)多樣性，但在態(tài)勢生成應用及驗證方面仍有較大的改進空間。

賽博空間；態(tài)勢感知；多源異構；數(shù)據(jù)融合；決策

1 概述

賽博空間(cyberspace)一詞是由美國科幻小說作家William Gibson創(chuàng)造的，指在計算機以及計算機網(wǎng)絡里的虛擬現(xiàn)實，后來概念被普及和延伸，例如用來表示實時的網(wǎng)絡空間等。態(tài)勢感知的概念源于航天飛機的人因研究，此后在空中交通監(jiān)管、醫(yī)療應急調(diào)度以及網(wǎng)絡安全監(jiān)控等領域被廣泛地應用[1]。

Endsley于1985年提出了態(tài)勢感知的定義，指出態(tài)勢感知是在特定的時間和空間下，對環(huán)境中各元素或對象的覺察、理解以及對未來狀態(tài)的預測。過去賽博空間的攻擊方式具有單維性，主要形式是單一地拒絕服務(Denial of Service, DoS)攻擊、計算機病毒或者蠕蟲、未授權的入侵，這些攻擊主要針對網(wǎng)站、郵件服務器、客戶機等。如今賽博空間的攻擊經(jīng)歷多元化發(fā)生了根本性改變，導致利用多種攻擊工具和技術的多階段、多維性攻擊出現(xiàn)。賽博空間的防御者必須處理多維攻擊產(chǎn)生的大量不確定、不完整的多源異構信息，從而正確理解并認識當前態(tài)勢。

不確定信息的挑戰(zhàn)存在于賽博態(tài)勢感知的所有階段，包括前期的安全風險管理、實時的入侵檢測、后期的取證分析。在過去的十余年中，研究者們提出了多種數(shù)據(jù)融合模型、決策模型，用于處理不確定、不完整、不精確的多源異構信息。其中在決策模型中，很多研究者考慮到人作為決策過程的因素，融入了認知心理學相關研究。本文綜述態(tài)勢感知研究領域的融合及決策方式，并給出了相應的評述及比較分析。

2 數(shù)據(jù)融合方式綜述

數(shù)據(jù)融合技術最早應用于軍事，近年來數(shù)據(jù)融合在非軍事領域也被廣泛應用。本節(jié)以大規(guī)模賽博空間態(tài)勢感知為背景，討論的一般是多源異構數(shù)據(jù)的采集與分析，即多源數(shù)據(jù)融合。

數(shù)據(jù)融合研究的關鍵是融合模型和算法。模型勾勒出邏輯的框架，目前存在的數(shù)據(jù)融合模型往往很大程度上依賴于應用領域，不存在通用的數(shù)據(jù)融合模型，其中最具有影響力的是如圖1所示的聯(lián)合指導實驗室(Joint Directors of Laboratories, JDL)數(shù)據(jù)融合模型[2-3]，其中，態(tài)勢感知作為較高層次的Level 2融合，向上從Level 1融合接收網(wǎng)絡監(jiān)測數(shù)據(jù)，作為態(tài)勢感知的信息來源；向下為Level 3融合提供態(tài)勢信息，用于威脅分析和決策支持。

圖1 數(shù)據(jù)融合模型

下面將綜述當前研究人員正在研究或者已經(jīng)取得顯著成果的用于賽博空間態(tài)勢感知的數(shù)據(jù)融合方式及算法，并給出相應的評述及發(fā)展趨勢。

2.1 基于貝葉斯網(wǎng)絡的態(tài)勢感知

貝葉斯網(wǎng)絡是基于概率分析和圖論的一種不確定性知識的表示和推理模型，表現(xiàn)為一個賦值的復雜因果關系網(wǎng)絡圖，關于貝葉斯網(wǎng)絡的深入了解與學習可以參考書籍[4]。

目前很多研究人員已經(jīng)把貝葉斯網(wǎng)絡應用到態(tài)勢感知領域來處理不確定性信息。

文獻[5]提出態(tài)勢認識的本質(zhì)是通過因果推理進行態(tài)勢理解和診斷推理以實現(xiàn)態(tài)勢預測，該文獻通過構建態(tài)勢認識的貝葉斯網(wǎng)絡模型找出了態(tài)勢和時間之間的因果關系，根據(jù)貝葉斯網(wǎng)絡信息傳播算法，以態(tài)勢和事件節(jié)點的置信度為參數(shù)綜合應用貝葉斯網(wǎng)絡進行了因果推理和診斷推理，分別實現(xiàn)了態(tài)勢理解與態(tài)勢預測過程。文獻給出了基本的信息傳播算法、態(tài)勢認識系統(tǒng)的實現(xiàn)及運用該算法的實例應用，體現(xiàn)了很好的數(shù)據(jù)學習能力及推理能力(但算法在有2個子節(jié)點的情況下沒有給出診斷推理方法，同時應用文中的信息傳播算法也無法推算出實例中的結果數(shù)據(jù)，缺乏一定的合理性與精確性)。

一些文章基于貝葉斯網(wǎng)絡研究了博弈融合的態(tài)勢分析，文獻[6]將博弈論思想和信息融合理論相結合，提出了一種以博弈思想為指導的博弈融合機制，同時最后也指出了貝葉斯網(wǎng)絡在信息融合中應用的局限性：首先原因和結果常常會相互作用，貝葉斯網(wǎng)絡是一個有向無環(huán)圖，無法滿足有環(huán)的因果網(wǎng)絡圖，其次貝葉斯網(wǎng)絡沒有考慮原因節(jié)點影響結果節(jié)點的滯后時間，從而只適用于靜態(tài)分析，有必要引入動態(tài)貝葉斯網(wǎng)絡進行研究。

2.2 基于D-S證據(jù)理論的態(tài)勢感知

D-S(Dempster-Shafer)理論允許各傳感器提供各自所能提供的信息來進行目標檢測、分類及識別。算法核心是用概率分配值來定義一個不確定區(qū)間，并用不確定區(qū)間來表示一個命題的支持度和似然度。關于D-S理論的深入了解與學習，參考文獻[7]中的第5章。

很多研究者已把D-S證據(jù)理論應用在網(wǎng)絡異常檢測、態(tài)勢評估等研究中。

文獻[8]指出目前網(wǎng)絡異常檢測方法存在的很多不足，例如漏報率與誤報率都比較高，沒有融合多個特征進行綜合評判，檢測算法不能夠滿足大量數(shù)據(jù)及高速網(wǎng)絡的檢測要求，從而提出基于D-S證據(jù)理論的網(wǎng)絡異常檢測方法，同時引入了自適應機制。研究者給出了系統(tǒng)架構，并指出在方法的實現(xiàn)過程中，只需選取從應用層以下各層協(xié)議頭部中的域值通過簡單計算即可獲得特征。最后使用DARPA 1999年IDS基準評測數(shù)據(jù)進行了實驗，得出的實驗結果表明，該算法在較低誤報率的基礎上達到了理想的檢測率。

文獻[9]提出了基于D-S證據(jù)理論的態(tài)勢評估方法，并給出自己的網(wǎng)絡安全態(tài)勢評估模型，模型中將態(tài)勢評估分為3層：特征層，解釋層，評估層。特征層收集不同類型的原始信息。解釋層的數(shù)據(jù)來源于特征層，并與攻擊數(shù)據(jù)庫中的數(shù)據(jù)進行匹配，然后用D-S證據(jù)理論算法融合匹配的數(shù)據(jù)，判斷當前網(wǎng)絡態(tài)勢。評估層基于獲得的信息，綜合計算來預測潛在威脅，并生成當前態(tài)勢的映射圖。最后在實例中給出一張隨時間變化的態(tài)勢圖，但只給出一個整體態(tài)勢值，其并不會指導管理員該如何采取防護措施，這需要具體模塊化的態(tài)勢值，當然整體態(tài)勢也不僅僅是模塊化態(tài)勢值的加權運算。

2.3 基于粗糙集理論的態(tài)勢感知

粗糙集理論(Rough Set Theory, RST)作為一種數(shù)據(jù)分析處理理論，在1982年由波蘭科學家Pawlak創(chuàng)立，該理論在分類意義下定義了模糊性和不確定性的概念，是一種處理不確定、不相容數(shù)據(jù)和不精確問題的新型數(shù)學工具，其主要思想就是在分類能力不變的前提下，通過知識約簡，導出問題的決策和分類規(guī)則。關于粗糙集理論的深入了解與學習可以參考文獻[10]。

1995年ACM將粗糙集理論列為新興的計算機科學的研究課題，用在態(tài)勢感知領域粗糙集理論研究剛剛起步，所以目前文獻大多數(shù)局限在算法的基礎應用，主要研究方向為態(tài)勢感知與評估。

國內(nèi)已有研究者將粗糙集理論應用到網(wǎng)絡態(tài)勢感知[11]，該方法把網(wǎng)絡攻擊行為作為網(wǎng)絡安全要素，定量分析了各安全要素或安全要素組合對網(wǎng)絡安全的威脅程度，最終建立了具有攻擊行為、網(wǎng)絡服務和安全態(tài)勢3個層次的網(wǎng)絡安全態(tài)勢感知模型，并通過仿真實驗生成了明確的網(wǎng)絡安全態(tài)勢圖。文獻[11]在于仿真實驗中采用了多源異構數(shù)據(jù)，對各數(shù)據(jù)進行量化處理最終形成態(tài)勢圖，實驗邏輯性強且具有說服力。

更多研究者將粗糙集理論用在態(tài)勢評估中進行研究。文獻[12]將貝葉斯網(wǎng)絡與粗糙集理論相結合進行戰(zhàn)爭域的態(tài)勢評估，主要模式是應用貝葉斯網(wǎng)絡及專家經(jīng)驗從不確定環(huán)境中獲得主觀態(tài)勢評估，客觀的態(tài)勢評估應用粗糙集理論獲得，合成2種算法的評估數(shù)據(jù)，最終掌握整個戰(zhàn)爭域的實時態(tài)勢。文獻[13]基于多屬性決策的態(tài)勢評估提出一個基于粗糙集理論的模型，改進了區(qū)分函數(shù)(Discernibility Function, DF)和基于決策屬性的精簡算法，因此產(chǎn)生了更高的評估效率。

2.4 基于神經(jīng)網(wǎng)絡的態(tài)勢感知

人工神經(jīng)網(wǎng)(Artificial Neural Networks, ANN)也簡稱為神經(jīng)網(wǎng)絡或稱作連接模型，它是一種模仿動物神經(jīng)網(wǎng)絡行為特征，進行分布式并行信息處理的算法數(shù)學模型。這種網(wǎng)絡依靠系統(tǒng)的復雜程度，通過調(diào)整內(nèi)部大量節(jié)點之間相互連接的關系，從而達到處理信息的目的。關于神經(jīng)網(wǎng)絡的深入了解與學習可以參考文獻[14]。

神經(jīng)網(wǎng)絡在態(tài)勢感知中的應用比較集中在態(tài)勢預測研究中。

網(wǎng)絡安全態(tài)勢值具有非線性時間序列的特點，借助神經(jīng)網(wǎng)絡處理混沌、非線性數(shù)據(jù)的優(yōu)勢，研究者提出了一種基于徑向基函數(shù)(Radical Basis Function, RBF)神經(jīng)網(wǎng)絡進行態(tài)勢預測的方法[15]，該方法通過訓練RBF神經(jīng)網(wǎng)絡找出態(tài)勢值得前N個數(shù)據(jù)和隨后M個數(shù)據(jù)的非線性映射關系，進而利用該關系進行態(tài)勢值預測。為了提高RBF神經(jīng)網(wǎng)絡的預測精度，文獻[16]利用混合的遞階遺傳算法(Hierarchical Genetic Al gorithm, HGA)的全局搜索能力來更好地優(yōu)化RBF神經(jīng)網(wǎng)絡的結構和參數(shù)，然后使用訓練好的RBF網(wǎng)絡構建一個預測模型來預測未來網(wǎng)絡安全態(tài)勢。文獻[17]中基于小波神經(jīng)網(wǎng)絡(Wavelet Ne ural Netw ork, WN N)給出了網(wǎng)絡安全態(tài)勢感知的定量預測方法。

研究者在文獻[18]中基于Endsley的態(tài)勢感知三階段給出了自己的網(wǎng)絡安全態(tài)勢感知模型，此模型具有3層結構，分別為數(shù)據(jù)、信息、知識。研究者采用Snort和NetFlow作為傳感器來收集實時的網(wǎng)絡流數(shù)據(jù)，然后采用多層前饋神經(jīng)網(wǎng)絡進行信息的融合，給出了簡潔有效的特征精簡方法，減少了輸入向量并改進了融合機制的實時性。另外為了給出被監(jiān)控網(wǎng)絡的實時安全態(tài)勢，研究者還提供了一個態(tài)勢生成機制。

2.5 基于HMM和馬爾科夫博弈論的態(tài)勢感知

隱馬爾科夫模型(Hidden Markov Models, HMM)是對馬爾科夫模型的一種擴充，可以描述為由一個不可觀測的、隱含的隨機過程支持的可觀測的隨機過程。關于馬爾科夫模型及隱馬爾科夫模型的深入了解與學習可以參考文獻[19]。馬爾科夫博弈論(Markov Game Theory, MGT)概念由決策者、狀態(tài)空間、行動空間、轉換規(guī)則、支付函數(shù)和決策等相關定義描述[20]，它是一種隨機的、動態(tài)的博弈論，能夠抓住網(wǎng)絡沖突的性質(zhì)，很好地處理可用的不完整、不確定信息集。

有研究者將HMM用在態(tài)勢的趨勢識別即態(tài)勢預測的相關研究中[21]，指出現(xiàn)存研究框架僅依賴于一種或者一類傳感器的不足，給出了自己的系統(tǒng)框架，通過分析不同傳感器獲得的信息，預測入侵者的意圖，文獻給出了模擬實例并完成入侵意圖識別，但文獻中在描述采用HMM進行趨勢識別時并沒有說明過程僅依賴現(xiàn)在而不依賴過去的馬爾科夫性的適用性，同時實例只是針對自己的模型進行特定的參數(shù)配置，缺乏一定的通用性及推廣能力，所以還具有一定的局限性，還需更多的工作繼續(xù)深一步的研究。

文獻[20]提出馬爾科夫博弈論能夠捕獲網(wǎng)絡沖突的特性：防御方的策略決策跟攻擊方的策略決策相耦合對應。研究者首先基于JDL模型給出自己的用于賽博態(tài)勢感知的框架，其中主要包括2個模塊：數(shù)據(jù)融合模塊和動態(tài)自適應特征識別模塊，后者能夠產(chǎn)生原始識別數(shù)據(jù)并學習新發(fā)現(xiàn)的或未知的賽博攻擊。其次考慮到中立者可能為了最小化自己的損失而采取行動偏向攻擊方或者防御方，在博弈論應用中創(chuàng)新性地引入中立方。研究者介于三方參與的博弈及攻擊方和防御方又不是完全對立的，采用了非零和博弈。另外在博弈論的決策方面采用混合納什平衡(Nash Equilibrium, NE)決策，其中每個參與者只需考慮平均支付函數(shù)。

2.6 數(shù)據(jù)融合方式評述及發(fā)展趨勢

數(shù)據(jù)融合方式在態(tài)勢感知中處理多源異構數(shù)據(jù)的應用研究比較成熟，算法各具優(yōu)越性，貝葉斯網(wǎng)絡具有神經(jīng)網(wǎng)絡和圖論的優(yōu)點，它使用概率論來處理不確定性，提供了一種將知識直覺地圖解可視化的方法；D-S證據(jù)理論支持描述不同等級的精確度和直接引入對未知不確定性的描述；粗糙集理論具有能從海量數(shù)據(jù)中發(fā)現(xiàn)有用規(guī)律并將其轉化為邏輯規(guī)則的優(yōu)勢；安全態(tài)勢值具有非線性時間序列的特點，而神經(jīng)網(wǎng)絡具有處理非線性數(shù)據(jù)的優(yōu)勢；賽博空間入侵者具有相對確定的意圖，采用意向圖進行意圖識別形成一種新穎的研究方式，將隱馬爾科夫用于意圖識別能夠從多傳感器融合數(shù)據(jù)，得到正確的識別與認知；將博弈論應用于賽博空間防御研究，馬爾科夫博弈論模型采用分布式結構，能夠有效為賽博空間的不確定因素進行建模，并能很好地抓住網(wǎng)絡沖突的性質(zhì)。

目前數(shù)據(jù)融合方式中的研究呈現(xiàn)實驗數(shù)據(jù)量小、實驗數(shù)據(jù)針對性強、算法缺乏高效性等缺點，并且雖然從多維度融合給出賽博空間當前態(tài)勢值，但缺乏具體模塊化的態(tài)勢值，模塊化態(tài)勢值對于決策者做決策更有意義。

在多源異構信息的處理中，目前已有很多研究者將多種融合方式結合起來進行研究，例如貝葉斯網(wǎng)絡與攻擊圖的結合、貝葉斯網(wǎng)絡與粗糙集理論的結合，這種算法結合研究是一種將來的研究趨勢。對于單一融合方式的研究，從時間復雜度及空間復雜度的優(yōu)化性出發(fā)進行算法的創(chuàng)新性改進，也是一種研究趨勢。

3 決策方式綜述

決策一詞的意思就是為了到達一定目標，采用一定的科學方法和手段，從2個以上的方案中選擇一個滿意方案的分析判斷過程。態(tài)勢感知中數(shù)據(jù)融合的最終目標是讓操作者了解當前賽博空間的狀況從而掌握全局態(tài)勢，做出相應決策。很多文獻從如何做決策的角度出發(fā)，針對態(tài)勢感知中多源異構信息的處理方式進行相關研究，并有研究者考慮到?jīng)Q策過程中個人因素的影響，將心理學的認知過程納入決策研究。

3.1 基于認知心理學的態(tài)勢感知決策方式

認知，指通過心理活動獲取知識。在態(tài)勢感知中的認知應用研究主要是基于認知心理學信息加工論，信息加工論主要涉及信息的獲得、存儲、加工、提取和應用。研究者分別將認知應用到了人作為高效率、實時決策者的研究中和賽博空間的決策框架研究中。

Endsley早期從人的認知角度對態(tài)勢感知進行了相關研究，文獻[22]指出隨著動態(tài)、復雜系統(tǒng)的出現(xiàn)，操作者的態(tài)勢感知在系統(tǒng)的決策和性能中成為關鍵部分，態(tài)勢感知過程跟操作者對于當前環(huán)境的知識狀態(tài)有關，它主要由操作者對相關元素的感知、操作者對目標有關的元素的理解和基于這些理解對環(huán)境未來狀態(tài)的預測結合而成。研究者給出了一個考慮人的態(tài)勢感知的決策模型，并指出真正的態(tài)勢感知不僅是大量數(shù)據(jù)的融合，還需要基于操作者目標相關的更高水平的態(tài)勢理解及系統(tǒng)將來狀態(tài)的預測。文獻還考慮了任務和系統(tǒng)因素，它們也會影響個人態(tài)勢獲取能力，并就這些因素對系統(tǒng)設計等展開研究。此研究的創(chuàng)新性在于將人的因素納入對空間態(tài)勢獲取的研究，基于信息加工論提出了人的態(tài)勢感知概念并給出了模型。

3.2 基于邏輯學的態(tài)勢感知決策方式

在安全分析中，計算機攻擊條件的邏輯關系顯得日益重要[23]，研究者在脆弱性分析中通過對這種關系的建模也生成多種解決方案[24-25]，他們在建模中都采用了某些確定邏輯：一個攻擊的前置條件成立，則后置條件成立。文獻[23]指出，上述確定邏輯并沒有考慮到賽博安全分析的不確定性。

介于確定邏輯的局限性，研究者提出了一種基于經(jīng)驗的邏輯方法進行決策研究[23]。文獻根據(jù)人的基于經(jīng)驗的思維方式設計邏輯規(guī)則，并將此邏輯模型分為2個部分：觀察推理用來將觀察結果映射到內(nèi)部條件，內(nèi)部模型用來分析內(nèi)部條件的邏輯關系。相對于以前的融合和決策方法直接應用現(xiàn)存的模型進行研究，此文獻直接從底層基礎開始設計一個接近人類推理的邏輯模型，此模型的另一個優(yōu)點是相對于結論成立的條件是以邏輯證明的形式給出的，這使得在達成這個結論過程中什么條件被應用或什么條件被假設更加清楚。

3.3 基于風險管理的態(tài)勢感知決策方式

賽博空間態(tài)勢感知不確定性研究的另一個重要方面是系統(tǒng)中存在的靜態(tài)不確定性或者固有風險。固有風險的分析和管理在安全投入的決策中顯得尤其重要。文獻[23]指出隨著目前網(wǎng)絡應用的擴大，相關應用中的漏洞經(jīng)常被發(fā)現(xiàn)，且被用來進行階段性賽博攻擊，但并不存在一種客觀的方法來評估網(wǎng)絡的安全性，通過增加安全投入可以減少與安全相關的風險，在這方面的權衡分析需要一個量化的安全模型。

通用漏洞評分系統(tǒng)(Common Vulnerability Scoring System, C VSS)[26]是一個行業(yè)公開標準，被設計用來評測漏洞的嚴重程度，并幫助確定所需反應的緊急度和重要度。文獻[23]提出CVSS只提供了單個漏洞的分數(shù)，并不能提供一個合理的方法為網(wǎng)絡中一系列漏洞提供一種集成的度量方式，以便得到網(wǎng)絡安全的整體分數(shù)。研究者基于上述問題提出將CVSS與攻擊圖相結合，攻擊圖可以被用來進行漏洞間的因果關系建模，很多文獻中也研究了基于攻擊圖的CVSS度量。研究者結合攻擊圖進行CVSS度量相關研究，能夠比較好地利用多源異構數(shù)據(jù)形成系統(tǒng)當前漏洞狀態(tài)整體度量值，為賽博空間態(tài)勢感知中處理靜態(tài)不確定性數(shù)據(jù)進而正確理解當前態(tài)勢的研究提供了方向或理論依據(jù)。

3.4 決策方式評述及發(fā)展趨勢

決策方式的研究彰顯了交叉學科研究的創(chuàng)新性及優(yōu)越性，從認知心理學出發(fā)能夠將操作者的決策及分析能力作為因素納入多源異構信息的處理框架研究中；基于經(jīng)驗的邏輯方法的提出能夠從底層處理觀察到的多源異構數(shù)據(jù)，并將邏輯預處理結果映射到內(nèi)部進行內(nèi)部關系分析，便于跟蹤入侵者意圖；針對靜態(tài)不確定性數(shù)據(jù)的處理，將通用漏洞評分系統(tǒng)與攻擊圖相結合，能夠利用攻擊圖的因果關系建模，形成系統(tǒng)當前整體度量值。

決策方式的研究是從做決策的角度出發(fā)，為多源異構數(shù)據(jù)處理提供決策框架及框架所需的設計因素，并不會向數(shù)據(jù)融合方式提供一個最終的定量的態(tài)勢度量值。

賽博空間態(tài)勢感知中引入交叉學科的研究，能夠讓研究者從一個全新的角度尋求新穎的多源異構數(shù)據(jù)處理方式及優(yōu)化方式，例如很多與生物免疫學的交叉研究，這是一種比較新的研究趨勢。

4 結束語

針對目前賽博空間態(tài)勢感知研究中對多源異構信息的處理方式，本文從數(shù)據(jù)融合與決策方法2個角度綜述了當前研究比較前沿的解決方案，即5種數(shù)據(jù)融合算法以及3種決策方法，給出融合算法及決策方法的優(yōu)缺點并指出今后的發(fā)展趨勢，可以作為該領域后續(xù)研究的理論基礎參考。后續(xù)研究將會致力于提出更高效、優(yōu)化的適用于多源異構數(shù)據(jù)處理的融合算法，著重考慮融合算法的結合研究及算法的普適性。在決策方法的研究中，將致力于認知心理學及邏輯學的研究，提出更全面的態(tài)勢感知決策框架，讓態(tài)勢分析者實時、準確地掌握當前態(tài)勢，并做出相關決策及未來趨勢預測。

[1] 王慧強, 賴積保, 朱 亮, 等. 網(wǎng)絡態(tài)勢感知系統(tǒng)研究綜述[J]. 計算機科學, 2006, 33(10): 5-10.

[2] Hall D L, Llinas J. An I ntroduction to Multisensor Data Fusion[J]. Proceedings of the IEEE, 1997, 85(1): 6-23.

[3] Salerno J. Information Fusion: A High-le vel Architecture Overview[C]//Proc. of the 5th In ternational Conf erence on Information Fusion. Annapolis, USA: IEEE Press, 2002: 680-686.

[4] 張連文, 郭海鵬. 貝葉斯網(wǎng)引論[M]. 北京: 科學出版社, 2006.

[5] 羅 文, 李敏勇, 張曉銳. 基于貝葉斯網(wǎng)絡的態(tài)勢認識[J].火力與指揮控制, 2010, 35(3): 89-92.

[6] 周志強, 張曉燕. 基于貝葉斯網(wǎng)絡的博弈融合態(tài)勢評估方法[J]. 計算機與數(shù)字工程, 2008, 36(10): 17-19.

[7] 戴亞平, 劉 征, 郁光輝. 多傳感器數(shù)據(jù)融合理論及應用[M]. 北京: 北京理工大學出版社, 2004.

[8] 諸葛建偉, 王大為, 陳 昱, 等. 基于D-S證據(jù)理論的網(wǎng)絡異常檢測方法[J]. 軟件學報, 2006, 17(3): 463-471.

[9] Qu Zhaoyang, Li Yaying, Li Pen g. A Network Sec urity Situation Evaluation Method Based on D-S Evidence Theory[C]//Proc. of ESIAT’10. Wuhan, China: [s. n.], 2010: 496-499.

[10] 苗奪謙, 李道國. 粗糙集理論, 算法與應用[M]. 北京:清華大學出版社, 2008.

[11] 梁 穎, 王慧強, 賴積保. 一種基于粗糙集理論的網(wǎng)絡安全態(tài)勢感知方法[J]. 計算機科學, 2007, 34(8): 95-97.

[12] Meng Guanglei, Gong Guanghong. Algorithm of Battlefield Situation Assessment Based on Bayesian Network and Rough Set Theory[C]//Proc. of the 7th I nternational Conference on System Simulation and Scientific C omputing. Beijing, China: [s. n.], 2008: 776-779.

[13] Wang Xiaofan, Wang Baoshu. Methods for Situation Assessment of Multi-at tribute D ecision Making B ased on R ough Sets[C]//Proc. of the 6th International Conference on Fuzz y Systems and Knowledge Discove ry. Tianjin, China: [s. n.], 2009: 325-328.

[14] 韓力群. 人工神經(jīng)網(wǎng)絡教程[M]. 北京: 北京郵電大學出版社, 2006.

[15] 任 偉, 蔣興浩, 孫錟鋒. 基于RBF神經(jīng)網(wǎng)絡的網(wǎng)絡安全態(tài)勢預測方法[J]. 計算機工程與應用, 20 06, 4 2(31): 136-138.

[16] 孟 錦, 馬 馳, 何加浪, 等. 基于HHGA-RBF神經(jīng)網(wǎng)絡的網(wǎng)絡安全態(tài)勢預測模型[J]. 計算機科學, 2 011, 38(7): 70-72.

[17] Lai Jibao, Wang Huiqiang, Liu Xiaowu, et al. A Quantitative Prediction Method of Net work S ecurity Situation Based o n Wavelet N eural N etwork[C]//Proc. of the 1st International Symposium on Data, Privacy, a nd E-commerce. Cheng du, China: [s. n.], 2007: 197-202.

[18] Wang Hui qiang, Liu Xiao wu, Lai Jibao, et al. Net work Security Situation Awareness Based on Heterogeneous Multi-sensor Data Fusion and Neural Network[C]//Proc. of the 2nd Internation al Multi-symposiums on Computer and Computational S ciences. Io wa, USA: IEE E Press, 2007: 352-359.

[19] Rabiner L R. A T utorial o n Hidden Mark ov M odels and Selected Applications in Speech Recognition[J]. Proceedings of the IEEE, 1989, 77(2): 257-286.

[20] Shen Dan, Chen Genshe, Cruz J B, et al. A Markov Game Theoretic D ata Fusion A pproach for Cyber Situational Awareness[C]//Proc. of IEEE Military C ommunications Conference. Orlando, USA: [s. n.], 2007: 1-7.

[21] Zhang Qiang, Man Dapeng, Yang Wu. Using HMM for Intent Recognition in Cyber Security Situation Awareness[C]//Proc. of the 2nd International Symposium on Knowledge Acquisition and Modeling. W uhan, China: [s. n.], 2009: 166-169.

[22] Endsley M R. Toward a T heory of Situation A wareness i n Dynamic Systems[J]. Human Fa ctors: The Journ al of the Human Factors and Ergonomics Society, 1995, 37(1): 32-64.

[23] Jajodia S, Liu P, Swarup V, et al. Cyber Situational Awareness: Issues and Research[M]. [S. l.]: Springer, 2010.

[24] Ammann P, Wijesekera D, Kaushik S. Scalabl e, Graph-based Network V ulnerability A nalysis[C]//Proc. of the 9th ACM Conference on Computer and Communications Security. New York, USA: ACM Press, 2002: 217-224.

[25] Cheung S, Lindqvist U, Fong M W. Modeling Multistep Cyber Attacks for Scenario Reco gnition[C]//Proc. of DARP A Information Survivability Conference and Exposition. Washington D. C., USA: IEEE Press, 2003: 284-292.

[26] Mell P, Scarfone K, Romanosky S. A Complete Guide to the Common Vulnerability Scoring System Version 2.0[M]. [S. l.]: FIRST.org, Inc., 2007.

編輯 任吉慧

Review of Date Fusion and Decision-making Methods in Situation Awareness

GAI Wei-lina, XIN Dana, WANG Lub, LIU Xina, HU Jian-binb

(a. School of Software and Microelectronics; b. School of Electronics Engineering and Computer Science, Peking University, Beijing 100871, China)

In the research of cyberspace situation aw areness, how to deal with uncertain, inaccurate multi-source heterogeneous

information is an important problem which needs to be solved in the process of situational understanding. In order to accurately handle with the information, improve the a wareness of the situation, make the situation more accu racy, timeliness and overall, the paper reviews the existing technology focus, mainly including data fusion methods and decision-making methods. Data fusion methods mainly includes Bayesian network, D-S evidence theory, rough set theory, neural network, hidden Markov model and Markov game theory methods, and decision-making mainly includes cognitive psychology, logic and risk management methods. Research results show that current technology focuses present diversity, but still has great space for improvement in both the situation generation application and verification.

cyberspace; situation awareness; multi-source heterogeneous; data fusion; decision-making

10.3969/j.issn.1000-3428.2014.05.005

蓋偉麟(1987－)，男，碩士研究生，主研方向：網(wǎng)絡與信息安全，態(tài)勢感知；辛 丹、王 璐，碩士研究生；劉 欣，講師、博士；胡建斌，副教授、博士。

2013-03-05

2013-05-08E-mail：gaiweilin54070225@163.com

1000-3428(2014)05-0021-05

A

TP311.13