常鎰恒 馬照瑞 李霞 鞏道福

摘 ? 要：網(wǎng)絡(luò)安全態(tài)勢(shì)感知是一種基于環(huán)境的、動(dòng)態(tài)的、整體地洞悉安全風(fēng)險(xiǎn)的能力，能夠從全局視角提升對(duì)安全威脅的發(fā)現(xiàn)識(shí)別、理解分析、響應(yīng)處置能力。文章介紹了網(wǎng)絡(luò)安全態(tài)勢(shì)感知的相關(guān)概念以及發(fā)展現(xiàn)狀，根據(jù)態(tài)勢(shì)感知的邏輯分析框架，重點(diǎn)闡述了各個(gè)階段的作用和主流技術(shù)，對(duì)比分析了各種算法的優(yōu)缺點(diǎn)，最后對(duì)未來(lái)大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)安全態(tài)勢(shì)感知發(fā)展趨勢(shì)進(jìn)行了分析和展望。

關(guān)鍵詞：網(wǎng)絡(luò)安全;態(tài)勢(shì)感知;機(jī)器學(xué)習(xí);數(shù)據(jù)分析

中圖分類號(hào)：TP393.08 ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： Network security situation awareness is an environment-based， dynamic and overall ability to understand security risks， which can improve the ability to discover， identify， understand， analyze and respond to security threats from a global perspective. This paper introduces the related concepts and development status of network security situation awareness. According to the logical analysis framework of situation awareness， it focuses on the functions of each stage and mainstream technology， and compares and analyzes the advantages and disadvantages of various algorithms. Finally， the development trend of network security situational awareness in the future big data environment is analyzed and prospected.

Key words： network security; situational awareness; machine learning; the data analysis

1 引言

隨著工業(yè)化的發(fā)展，云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、數(shù)字信息的控制和移動(dòng)終端等技術(shù)成為了新的戰(zhàn)略制高點(diǎn)，網(wǎng)絡(luò)已經(jīng)成為信息社會(huì)發(fā)展的重要基礎(chǔ)，網(wǎng)絡(luò)安全問(wèn)題受到了前所未有的重視。

現(xiàn)階段面對(duì)傳統(tǒng)安全防御體系失效的風(fēng)險(xiǎn)，態(tài)勢(shì)感知開始逐漸應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域，它能夠全面感知網(wǎng)絡(luò)安全威脅態(tài)勢(shì)，洞悉網(wǎng)絡(luò)及應(yīng)用運(yùn)行健康狀態(tài)，通過(guò)全流量分析技術(shù)實(shí)現(xiàn)完整的網(wǎng)絡(luò)攻擊溯源取證，幫助安全人員采取針對(duì)性的響應(yīng)處置措施。

2 網(wǎng)絡(luò)安全態(tài)勢(shì)感知概述

目前為止，對(duì)網(wǎng)絡(luò)安全的研究經(jīng)歷了四個(gè)主要的階段如表1所示：安全保障的理想化設(shè)計(jì)、輔助檢測(cè)與被動(dòng)防御、主動(dòng)分析與策略制定、整體感知與趨勢(shì)預(yù)測(cè)。

直到1999年，Bass等人[1]受到空中交通管制（ATC）態(tài)勢(shì)感知的啟發(fā)，首次把態(tài)勢(shì)感知的概念應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域。緊接著Bass在文獻(xiàn)[2]中又提出了多傳感器集成后的入侵檢測(cè)框架的態(tài)勢(shì)感知概念，隨后Batsell S G[3]和Shifflet J[4]也提出了類似框架。

自Bass提出網(wǎng)絡(luò)安全態(tài)勢(shì)感知概念后，許多學(xué)者均是以圍繞網(wǎng)絡(luò)安全態(tài)勢(shì)感知展開進(jìn)一步研究。龔儉等人在文獻(xiàn)[5]中對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的定義和基本概念的理解進(jìn)行了系統(tǒng)的闡述。李艷等人在文獻(xiàn)[6]中介紹了網(wǎng)絡(luò)安全態(tài)勢(shì)感知的基本運(yùn)行機(jī)制，并闡述了各個(gè)環(huán)節(jié)在網(wǎng)絡(luò)安全狀態(tài)認(rèn)知過(guò)程中的作用。目前為止，對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的概念還沒有明確、統(tǒng)一的表述。

本文認(rèn)為網(wǎng)絡(luò)安全態(tài)勢(shì)感知就是從大量且存在噪聲的數(shù)據(jù)中辨識(shí)出網(wǎng)絡(luò)中的攻擊行為，從而融合這些信息對(duì)網(wǎng)絡(luò)的安全態(tài)勢(shì)進(jìn)行實(shí)時(shí)的評(píng)估和監(jiān)控，以達(dá)到對(duì)網(wǎng)絡(luò)狀態(tài)的整體把控，同時(shí)為網(wǎng)絡(luò)管理人員的決策分析提供了依據(jù)，從而降低了網(wǎng)絡(luò)風(fēng)險(xiǎn)和損失。網(wǎng)絡(luò)安全態(tài)勢(shì)感知功能模型如圖1所示。

3 網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型

Endsley[7]提出的態(tài)勢(shì)感知概念模型和Bass[1]提出的功能模型以及數(shù)據(jù)融合模型[8]為網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究奠定了基礎(chǔ)，在此基礎(chǔ)上，衍生出多種不同的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型。雖然這些模型的名稱不同，但是基本原理卻是相同的。

Boyd在Endsley三層模型的基礎(chǔ)上提出了Boyd控制循環(huán)模型[9]，該模型描述了目的與活動(dòng)的感知過(guò)程，并將態(tài)勢(shì)感知循環(huán)過(guò)程分為觀察、導(dǎo)向、決策、行動(dòng)四個(gè)階段。該模型能夠很好的適應(yīng)復(fù)雜網(wǎng)絡(luò)空間的態(tài)勢(shì)感知，如圖2所示為該模型態(tài)勢(shì)感知的動(dòng)態(tài)執(zhí)行過(guò)程。

劉效武等人[10]提出了基于融合的網(wǎng)絡(luò)安全認(rèn)知感控模型，如圖3所示該模型的特點(diǎn)是跨層架構(gòu)和認(rèn)知圈的設(shè)計(jì)，可以提高不同網(wǎng)絡(luò)層之間的交互和認(rèn)知能力。并且在分析模型構(gòu)件及其功能的基礎(chǔ)上，采用融合算法對(duì)異構(gòu)多傳感器安全事件進(jìn)行準(zhǔn)確決策。結(jié)合威脅基因與威脅等級(jí)關(guān)系的推理，提出了一種包括服務(wù)層、主機(jī)層和網(wǎng)絡(luò)層的層次量化方法。該方法的優(yōu)點(diǎn)是克服了處理網(wǎng)絡(luò)構(gòu)件間復(fù)雜成員關(guān)系的不足，提高了對(duì)網(wǎng)絡(luò)威脅的表達(dá)能力。

以上模型都是比較經(jīng)典的態(tài)勢(shì)感知模型。除此之外，針對(duì)不同的應(yīng)用和場(chǎng)景又有學(xué)者提出不同的態(tài)勢(shì)感知模型。Ioannou G等人[11]針對(duì)高級(jí)持續(xù)威脅（XAPTs）提出了馬爾可夫多階段可轉(zhuǎn)移信念模型，為了滿足對(duì)敵環(huán)境下網(wǎng)絡(luò)系統(tǒng)安全監(jiān)測(cè)預(yù)警的需要，趙國(guó)生等人[12]提出了一種基于不等間隔灰度Verhulst模型并進(jìn)行殘差校正的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型。該模型在網(wǎng)絡(luò)安全態(tài)勢(shì)感知方面達(dá)到了較好的精度，具有一定的實(shí)用價(jià)值。

由以上分析可知，現(xiàn)在大多數(shù)網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型以傳統(tǒng)的三層模型為基礎(chǔ)并從不同角度進(jìn)行補(bǔ)充、完善，根據(jù)實(shí)際的需要，對(duì)模型進(jìn)行改進(jìn)。面對(duì)日益龐雜的網(wǎng)絡(luò)空間安全，需要對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型進(jìn)行創(chuàng)新性改進(jìn)，實(shí)現(xiàn)智能化感知。

4 網(wǎng)絡(luò)安全態(tài)勢(shì)感知過(guò)程

網(wǎng)絡(luò)安全態(tài)勢(shì)感知的過(guò)程通常涉及多個(gè)不同的階段，根據(jù)實(shí)際的需要，有的學(xué)者采用工程分級(jí)的方法[13]，有的學(xué)者是在概念層次[14]進(jìn)行劃分，還有的是從數(shù)據(jù)價(jià)值鏈的角度[6]進(jìn)行劃分。本文根據(jù)態(tài)勢(shì)感知的邏輯分析框架分別從網(wǎng)絡(luò)態(tài)勢(shì)要素提取、態(tài)勢(shì)評(píng)估、態(tài)勢(shì)預(yù)測(cè)這三個(gè)方面進(jìn)行詳細(xì)介紹。

4.1 網(wǎng)絡(luò)安全態(tài)勢(shì)要素提取

網(wǎng)絡(luò)安全態(tài)勢(shì)要素的提取是網(wǎng)絡(luò)安全態(tài)勢(shì)研究的基礎(chǔ)，在要素獲取階段盡可能有效地獲取與安全相關(guān)的數(shù)據(jù)，并且要對(duì)所提取的要素進(jìn)行全方位、多角度的分析。該階段的主要任務(wù)是獲取數(shù)據(jù)并對(duì)數(shù)據(jù)進(jìn)行預(yù)處理。數(shù)據(jù)預(yù)處理的目的是刪除冗余的數(shù)據(jù)，提取出比較重要的態(tài)勢(shì)要素，并且對(duì)原始數(shù)據(jù)進(jìn)行規(guī)范化處理，為態(tài)勢(shì)評(píng)估、態(tài)勢(shì)預(yù)測(cè)提供數(shù)據(jù)基礎(chǔ)。

態(tài)勢(shì)要素獲取本質(zhì)上是對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行分類，并判斷每條數(shù)據(jù)是否異常，如果發(fā)現(xiàn)異常數(shù)據(jù)就判斷它屬于哪種異常。常見的分類算法有：決策樹[15]、貝葉斯[16]、人工神經(jīng)網(wǎng)絡(luò)[17]、支持向量機(jī)[18]和基于關(guān)聯(lián)規(guī)則[19]的分類等。

本文對(duì)上述態(tài)勢(shì)要素獲取方法進(jìn)行了分析比較，并給出了相關(guān)算法的優(yōu)缺點(diǎn)，具體如表2所示。

上述方法在使用過(guò)程中往往需要結(jié)合一些優(yōu)化算法（如粒子群優(yōu)化算法、遺傳算法等）或?qū)傩约s簡(jiǎn)算法（主成分分析法、粗糙集等），以達(dá)到更好的效果。優(yōu)化算法主要是對(duì)上述算法的參數(shù)或結(jié)構(gòu)等進(jìn)行優(yōu)化，進(jìn)一步提升算法的性能。屬性約簡(jiǎn)算法主要是在態(tài)勢(shì)要素提取過(guò)程中對(duì)大量龐雜數(shù)據(jù)進(jìn)行優(yōu)化處理，以提升分類效率。

4.2 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估

網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估是網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的核心環(huán)節(jié)，主要是通過(guò)一系列的數(shù)學(xué)模型和算法對(duì)提取的海量網(wǎng)絡(luò)安全數(shù)據(jù)信息進(jìn)行關(guān)聯(lián)分析，并對(duì)其進(jìn)行融合，以獲取宏觀的網(wǎng)絡(luò)安全態(tài)勢(shì)，使網(wǎng)絡(luò)管理者能夠有目標(biāo)地進(jìn)行決策并提前做好防護(hù)措施，并對(duì)下一步態(tài)勢(shì)預(yù)測(cè)提供依據(jù)。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的重要作用就是為安全防護(hù)的實(shí)施提供強(qiáng)有力的支持。

安全態(tài)勢(shì)評(píng)估是網(wǎng)絡(luò)安全態(tài)勢(shì)感知的重點(diǎn)，也是難點(diǎn)，缺乏一個(gè)系統(tǒng)的理論體系。態(tài)勢(shì)評(píng)估領(lǐng)域的研究比較零散，大多為各自獨(dú)立的一些觀點(diǎn)，沒有統(tǒng)一的方法可以較好地用于評(píng)估，衡量評(píng)估質(zhì)量的方法和技術(shù)也還比較缺乏，這就導(dǎo)致了評(píng)估方法的多樣化而沒有一個(gè)權(quán)威性的共識(shí)。目前，國(guó)內(nèi)外關(guān)于網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法的研究成果有很多。按照評(píng)估依據(jù)的理論技術(shù)基礎(chǔ)，可分為三大類，分別是基于數(shù)學(xué)模型的評(píng)估方法、基于概率和知識(shí)推理的評(píng)估方法、基于模式分類的評(píng)估方法。

基于數(shù)學(xué)模型的評(píng)估方法主要有層次分析法、集對(duì)分析法以及距離偏差法等，它們是對(duì)影響網(wǎng)絡(luò)安全態(tài)勢(shì)感知的因素進(jìn)行綜合考慮，然后建立安全指標(biāo)集與安全態(tài)勢(shì)的對(duì)應(yīng)關(guān)系，從而將態(tài)勢(shì)評(píng)估問(wèn)題轉(zhuǎn)化為多指標(biāo)綜合評(píng)價(jià)或多屬性集合等問(wèn)題。它有明確的數(shù)學(xué)表達(dá)式，并且也能夠給出確定性的結(jié)果。該類型的方法是最早用于網(wǎng)絡(luò)安全態(tài)勢(shì)感知中的評(píng)估方法，也是應(yīng)用最為廣泛的方法，其缺點(diǎn)是利用此類方法構(gòu)造的評(píng)估模型以及對(duì)其中變量的定義涉及的主觀因素較多，缺少客觀統(tǒng)一的標(biāo)準(zhǔn)。

基于概率和知識(shí)推理的評(píng)估方法主要有模糊推理、貝葉斯網(wǎng)絡(luò)、馬爾可夫理論、D-S證據(jù)理論等，它們是依據(jù)專家知識(shí)和經(jīng)驗(yàn)數(shù)據(jù)庫(kù)來(lái)建立模型，采用邏輯推理的方式對(duì)安全態(tài)勢(shì)進(jìn)行評(píng)估。其主要思想是借助模糊理論、證據(jù)理論等來(lái)處理網(wǎng)絡(luò)安全事件的隨機(jī)性。采用該方法構(gòu)建模型需要先獲取先驗(yàn)知識(shí)，從實(shí)際應(yīng)用來(lái)看，該方法對(duì)知識(shí)的獲取途徑仍然比較單一，主要依靠機(jī)器學(xué)習(xí)或?qū)＜抑R(shí)庫(kù)，機(jī)器學(xué)習(xí)存在操作困難的問(wèn)題，而專家知識(shí)庫(kù)主要依靠經(jīng)驗(yàn)的累積。由于大量的規(guī)則和知識(shí)占用大量空間，而且推理過(guò)程也越來(lái)越復(fù)雜，很難應(yīng)用到大規(guī)模網(wǎng)絡(luò)中進(jìn)行評(píng)估。

基于模式分類的評(píng)估方法主要有聚類分析、粗糙集、灰色關(guān)聯(lián)分析、神經(jīng)網(wǎng)絡(luò)和支持向量機(jī)等，它們是利用訓(xùn)練的方式建立模型，然后基于模式的分類來(lái)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行評(píng)估。該方法具備很好的學(xué)習(xí)能力，能夠建立較為準(zhǔn)確的數(shù)學(xué)模型，但是在實(shí)際應(yīng)用中計(jì)算量過(guò)大，如粗糙集和神經(jīng)網(wǎng)絡(luò)等建模時(shí)間較長(zhǎng)，特征數(shù)量較多且不易于理解，在對(duì)實(shí)時(shí)性要求高的網(wǎng)絡(luò)環(huán)境中不能得到很好的應(yīng)用。

綜上所述，每種方法都有其優(yōu)點(diǎn)和適用的情景，但是也有一定的弊端?，F(xiàn)在大多數(shù)學(xué)者傾向于把多種算法結(jié)合以達(dá)到互補(bǔ)優(yōu)化的效果。Dong等人[22]提出了一種基于改進(jìn)BP神經(jīng)網(wǎng)絡(luò)的定量評(píng)估方法，結(jié)合布谷鳥搜索算法，引入動(dòng)量因子和自適應(yīng)學(xué)習(xí)率對(duì)算法進(jìn)行優(yōu)化，從而提高了算法的收斂速度和評(píng)價(jià)精度。李方偉等人[23]將模擬退火算法（SA）與BaumWelch算法相結(jié)合用于優(yōu)化隱馬爾可夫模型（HMM）參數(shù)。由此可見，多種算法結(jié)合使用將是下一步研究的趨勢(shì)。

4.3 網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)

網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)是指在大規(guī)模網(wǎng)絡(luò)環(huán)境中根據(jù)當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估和已有的歷史評(píng)估數(shù)據(jù)，對(duì)未來(lái)網(wǎng)絡(luò)安全態(tài)勢(shì)變化趨勢(shì)進(jìn)行預(yù)測(cè)。態(tài)勢(shì)預(yù)測(cè)可以為網(wǎng)絡(luò)管理人員提供決策依據(jù)，能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的安全問(wèn)題并采取相應(yīng)措施。本文根據(jù)國(guó)內(nèi)外學(xué)者近幾年的研究情況整理出目前比較流行的態(tài)勢(shì)預(yù)測(cè)方法，主要有神經(jīng)網(wǎng)絡(luò)、支持向量機(jī)、時(shí)間序列預(yù)測(cè)法等。

神經(jīng)網(wǎng)絡(luò)是目前網(wǎng)絡(luò)態(tài)勢(shì)預(yù)測(cè)最常用的方法，具有自學(xué)習(xí)、自適應(yīng)性和非線性處理等特點(diǎn)，非常適用于非線性的復(fù)雜系統(tǒng)，并且在網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方面取得了不錯(cuò)的效果。目前，常用的神經(jīng)網(wǎng)絡(luò)有BP神經(jīng)網(wǎng)絡(luò)、RBF神經(jīng)網(wǎng)絡(luò)、反饋神經(jīng)網(wǎng)絡(luò)等。但是，神經(jīng)網(wǎng)絡(luò)在使用過(guò)程中存在訓(xùn)練時(shí)間長(zhǎng)、過(guò)度擬合或者訓(xùn)練不足、難以提供可信的解釋等問(wèn)題。針對(duì)這些問(wèn)題往往需要結(jié)合其它優(yōu)化算法進(jìn)行優(yōu)化，以提升算法性能。Zhang等人[24]利用多群混沌粒子對(duì)灰色神經(jīng)網(wǎng)絡(luò)關(guān)鍵參數(shù)進(jìn)行優(yōu)化，以提高預(yù)測(cè)精度。

支持向量機(jī)（SVM）是一種基于統(tǒng)計(jì)學(xué)習(xí)理論的模式識(shí)別方法，基本原理是通過(guò)一個(gè)非線性映射將輸入空間向量映射到一個(gè)高維特征空間，并在此空間上進(jìn)行線性回歸，從而將低維特征空間的非線性回歸問(wèn)題轉(zhuǎn)換為高維特征空間的線性回歸問(wèn)題來(lái)解決。但是，在參數(shù)選擇上需要結(jié)合其它算法對(duì)其參數(shù)進(jìn)行優(yōu)化，孫衛(wèi)喜[25]在分析了支持向量機(jī)與改進(jìn)粒子群（PSO）算法的基礎(chǔ)上，給出了一種改進(jìn)的PSO-SVM算法，明顯提高了網(wǎng)絡(luò)態(tài)勢(shì)的預(yù)測(cè)精度。

時(shí)間序列預(yù)測(cè)法是利用時(shí)間序列的歷史數(shù)據(jù)來(lái)揭示態(tài)勢(shì)隨時(shí)間變化的規(guī)律，通過(guò)此規(guī)律對(duì)未來(lái)的態(tài)勢(shì)做出預(yù)測(cè)。優(yōu)點(diǎn)就是簡(jiǎn)單、直觀，實(shí)際應(yīng)用比較方便，可操作性較好，不足之處就是對(duì)于預(yù)測(cè)精度有較高要求，需要有合適的模型階數(shù)以及最佳的模型參數(shù)估計(jì)，而且建模過(guò)程也比較復(fù)雜。

5 結(jié)束語(yǔ)

本文對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究進(jìn)展進(jìn)行了歸納總結(jié)，介紹了網(wǎng)絡(luò)安全態(tài)勢(shì)感知的基本概念以及相關(guān)模型，詳細(xì)的闡述了態(tài)勢(shì)感知三個(gè)階段的基本功能、主要方法以及應(yīng)用效果。網(wǎng)絡(luò)安全態(tài)勢(shì)感知發(fā)展至今，雖然取得了很大的進(jìn)步，但是態(tài)勢(shì)感知的研究仍然處于初級(jí)階段，仍有很多問(wèn)題需要完善和解決。本文提出的三個(gè)方面將是未來(lái)的研究方向。

（1）應(yīng)用范圍的擴(kuò)大

除了傳統(tǒng)的病毒、惡意軟件等威脅以外，隨著物聯(lián)網(wǎng)、區(qū)塊鏈技術(shù)和數(shù)字貨幣的發(fā)展，一些新興的威脅正在快速發(fā)展。網(wǎng)絡(luò)安全態(tài)勢(shì)感知將不在局限于傳統(tǒng)的網(wǎng)絡(luò)應(yīng)用。

（2）與大數(shù)據(jù)技術(shù)相結(jié)合

采用基于大數(shù)據(jù)的關(guān)聯(lián)歸并、融合分析和深度挖掘等多種技術(shù)手段，結(jié)合協(xié)議還原識(shí)別、靜態(tài)特征匹配、動(dòng)態(tài)行為分析、異常行為挖掘等層次化檢測(cè)方法，從離散的、孤立的數(shù)據(jù)中探測(cè)發(fā)現(xiàn)潛在的安全威脅。

（3）可視化展示

可視化技術(shù)可將網(wǎng)絡(luò)安全態(tài)勢(shì)感知所處理的海量異構(gòu)測(cè)量數(shù)據(jù)及其處理結(jié)果直觀的顯示出來(lái)，但是如何快速、準(zhǔn)確、完整、有效地將態(tài)勢(shì)傳達(dá)給安全決策者是非常具有挑戰(zhàn)性的問(wèn)題。

基金項(xiàng)目：

1. 國(guó)家自然科學(xué)基金項(xiàng)目（項(xiàng)目編號(hào)：61302159）;

2. 國(guó)家自然科學(xué)基金項(xiàng)目（項(xiàng)目編號(hào)：61379151）;

3. 國(guó)家自然科學(xué)基金項(xiàng)目（項(xiàng)目編號(hào)：61272489）;

4. 國(guó)家自然科學(xué)基金項(xiàng)目（項(xiàng)目編號(hào)：61602508）;

5. 國(guó)家自然科學(xué)基金項(xiàng)目（項(xiàng)目編號(hào)：61772549）;

6. 國(guó)家自然科學(xué)基金聯(lián)合重點(diǎn)項(xiàng)目（項(xiàng)目編號(hào)：U1804263）。

參考文獻(xiàn)

[1] Bass T， Gruber D. A glimpse into the future of id[J]. ;login：： the magazine of USENIX & SAGE， 1999， 24（4）： 40-45.

[2] Bass T， Robichaux R. Defense-in-depth revisited： qualitative risk analysis methodology for complex network-centric operations[C]//2001 MILCOM Proceedings Communications for Network-Centric Operations： Creating the Information Force （Cat. No. 01CH37277）. IEEE， 2001， 1： 64-70.

[3] Batsell S G， Rao N S， Shankar M. Distributed intrusion detection and attack containment for organizational cyber security[J]. Information on http：//www. ioc. ornl. gov/projects/documents-/containment. pdf， 2005.

[4] Shifflet J. A technique independent fusion model for network intrusion detection[C]//Proceedings of the Midstates Conference on Undergraduate Research in Computer Science and Mat hematics. 2005， 3（1）： 1-3.

[5] GONG Jian， ZANG Xiao-Dong， SU Qi，等. Survey of Network Security Situation Awareness[J]. Journal of Software， 2017.

[6] Li Y ， Huang G Q ， Wang C Z ， et al. Analysis framework of network security situational awareness and comparison of implementation methods[J]. EURASIP Journal on Wireless Communications and Networking， 2019， 2019（1）.

[7] Endsley M R. Design and evaluation for situation awareness enhancement[C]//Proceedings of the Human Factors Society annual meeting. Sage CA： Los Angeles， CA： SAGE Publications， 1988， 32（2）： 97-101.

[8] Shah S V， Liu J， Schuster D. Toward Robust Models of Cyber Situation Awareness[C]//Advances in Human Factors in Cybersecurity： Proceedings of the AHFE 2018 International Conference on Human Factors in Cybersecurity， July 21-25， 2018， Loews Sapphire Falls Resort at Universal Studios， Orlando， Florida， USA. Springer， 2018， 782： 127.

[9] Boyd J. A discourse on winning and losing[M]. Air University Press， Curtis E. LeMay Center for Doctrine Development and Education， 2018.

[10] Liu X W， Wang H Q， Lu H W， et al. Fusion-based cognitive awareness-control model for network security situation[J]. Journal of Software， 2016， 27（8）： 2099-2114.

[11] Ioannou G， Louvieris P， Clewley N. A Markov Multi-Phase Transferable Belief Model for Cyber Situational Awareness[J]. IEEE Access， 2019， 7： 39305-39320.

[12] Zhao G， Wang H Q， Wang J. A situation awareness model of network security based on grey Verhulst model[J]. Journal of Harbin Institute of Technology， 2008， 40（5）： 798-801.

[13] Wang H， Lai J， Zhu L， et al. Survey of network situation awareness system[J]. Computer Science， 2006， 33（10）： 5-10.

[14] Lenders V， Tanner A， Blarer A. Gaining an edge in cyberspace with advanced situational awareness[J]. IEEE Security & Privacy， 2015， 13（2）： 65-74.

[15] Kotsiantis S B. Decision trees： a recent overview[J]. Artificial Intelligence Review， 2013， 39（4）： 261-283.

[16] Mihaljevi? B， Bielza C， Larra?aga P. bnclassify： Learning Bayesian Network Classifiers[J]. 2019.

[17] Walczak S. Artificial neural networks[M]//Advanced Methodologies and Technologies in Artificial Intelligence， Computer Simulation， and Human-Computer Interaction. IGI Global， 2019： 40-53.

[18] Cortes C， Vapnik V. Support-vector networks[J]. Machine learning， 1995， 20（3）： 273-297.

[19] Kotsiantis S， Kanellopoulos D. Association rules mining： A recent overview[J]. GESTS International Transactions on Computer Science and Engineering， 2006， 32（1）： 71-82.

[20] 郭文忠，林宗明，陳國(guó)龍.基于粒子群優(yōu)化的網(wǎng)絡(luò)安全態(tài)勢(shì)要素獲取[J].廈門大學(xué)學(xué)報(bào)（自然科學(xué)版），2009，48（02）：202-206.

[21] 段詠程，王雨晴，李欣，楊樂(lè).基于RSAR的隨機(jī)森林網(wǎng)絡(luò)安全態(tài)勢(shì)要素提取[J].信息網(wǎng)絡(luò)安全，2019（07）：75-81.

[22] Dong G， Li W， Wang S， et al. The Assessment Method of Network Security Situation Based on Improved BP Neural Network[C]//International Conference on Computer Engineering and Networks. Springer， Cham， 2018： 67-76.

[23] Fangwei L I ， Qi L I ， Jiang Z . Improved method of situation assessment method based on hidden Markov model[J]. Journal of Computer Applications， 2017.

[24] Zhang S， Shen Y， Zhang G. Network Security Situation Prediction Model Based on Multi-Swarm Chaotic Particle Optimization and Optimized Grey Neural Network[C]//2018 IEEE 9th International Conference on Software Engineering and Service Science （ICSESS）. IEEE， 2018： 426-429.

[25] 孫衛(wèi)喜.用于網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)的粒子群與支持向量機(jī)算法研究[J].計(jì)算機(jī)應(yīng)用與軟件，2019，36（06）：308-316.