1980                                     Journal of Software  软件学报 Vol.32, No.7,  July 2021

                 映射关系进行模糊匹配         [13] 以保障识别的准确性,但并未从本质上解决仅依赖映射关系识别事件的缺陷.云计
                 算、网络安全等其他领域存在采用概率理论、日志分析等方式识别事件并同时保障识别准确性的相关研
                 究 [1418] ,但也存在考虑的因果关系维度单一、识别的事件类型有限等问题.另外,目前关于保障识别效率的研究
                 则主要集中于智能电网、云计算等其他领域                [1922] ,自适应领域尚缺乏与之直接相关的研究工作.
                    因此,本文提出了一种基于事件关系保障识别质量的自适应分析方法(self-adaptation  analysis method for
                 recognition quality assurance using event relationships,简称 SAFER),通过挖掘并利用反映事件间触发情况的因
                 果关系,对运行环境中发生的事件进行快速且准确的识别,达到实现事件识别功能并同时保障识别质量的目的.
                 SAFER 具体包括以下几个要点.
                    (1)  关系驱动的事件识别与质量保障.目前,网络安全领域中存在着将事件关系作为识别复杂攻击依据的
                 相关研究.该类研究虽然与本文的研究问题不同,但却为本文提供了可借鉴的研究思路.SAFER 依据序列模式挖
                 掘算法和模糊故障树理论从系统运行日志中挖掘并建模事件因果关系,随后采用贝叶斯网络结合因果关系与
                 映射关系共同识别事件,与仅依赖映射关系进行事件识别的现有工作相比,可有效保障识别的准确性;可定量计
                 算出各类运行环境变化对事件发生的影响程度,并据此动态调整获取这些环境变化数据的采样周期,以便于在
                 变化发生后可尽快地为贝叶斯网络提供相关数据以识别事件,保障识别效率.
                    (2)  率先优化分析过程的输入.目前,绝大多数关于自适应过程的研究工作普遍认为分析过程只能被动地
                 获得状态数据作为输入,而无法主动提出自己对状态数据的针对性需求                         [23] .SAFER 首次从保障识别效率的需求
                 出发,动态地调整获取特定状态数据的采样周期,为分析过程提供切实所需的关键输入数据,更好地保障了分析
                 过程的识别质量.这种通过优化过程输入以保障过程质量的方式,为后续开展自适应过程的相关研究提供了一
                 种新的研究思路.
                    (3)  向系统维护人员提供优化建议.通过对系统资源、状态变化等基本事件进行概率重要度与关键重要度
                 分析,SAFER 可提醒软件维护人员这些事件是较为容易导致系统发生整体异常的关键事件.软件维护人员可采
                 取相应措施降低这些关键事件的发生概率,期望能够降低系统发生整体异常的概率,从而使得软件系统能够可
                 靠、平稳地运行.
                    (4)  保持方法的动态更新以适应环境.运行环境的不可预期、动态多变等特征导致自适应分析方法本身也
                 需不断修正,才能始终保持方法的有效性.SAFER 注重基于实时数据动态更新与方法相关的知识模型或参数设
                 置,可根据最新的运行日志修正事件因果关系、更新贝叶斯网络模型的结构图和条件概率等,以保证本文方法
                 的持续有效性.
                    本文第 1 节介绍目前关于自适应分析方法的研究现状,并重点分析保障识别质量的相关研究.第 2 节给出
                 SAFER 的概览.第 3 节主要介绍 SAFER,其中包括事件关系挖掘与建模、基于正向推理的事件识别、基于反向
                 推理的变化监测这 3 部分.第 4 节通过具体实验以说明 SAFER 的有效性.第 5 节总结本文的工作,并对未来研究
                 进行展望.

                 1    相关工作

                    目前,自适应分析方法主要可分为基于规则推理                 [10] 、本体推理  [11,12] 两类方法.其中,基于规则推理的自适应
                 分析方法依据预定义的映射规则,将实时环境状态匹配到相应的事件.基于本体推理的自适应分析方法同样需
                 要依据预定义的系统状态本体、环境状态本体,推理出系统中发生的事件.这两种方法均主要关注分析过程中
                 识别功能的实现,而未考虑对分析过程识别准确性的保障,且其较为简化的规则或者本体将不足以在不确定环
                 境下准确地识别事件.
                    自适应领域仅存在较少的研究工作关注了如何在实现识别功能的同时保障识别的准确性.例如,相关学者
                 采用模糊推理方法      [13] ,将环境状态数据与事件进行模糊匹配,从而处理众多且不可预测的环境状态,但其本质上
                 仍属于规则推理方法,只能将环境数据匹配到现有规则中,而规则制定的局限性同样会限制该方法的准确性.
                    除上述自适应领域的研究工作外,云计算、网络安全等其他领域也存在采用概率理论推理                                 [1416] 、日志分