王璐  等:基于事件关系保障识别质量的自适应分析方法                                                      1989


                    周期调整系数计算.本文按照周期调整系数 ts 调整感知对象 s 的感知周期,如式(12)所示.本文认为,不同基
                 本事件引发顶事件的概率有所差异,针对有较高概率引发顶事件的基本事件,其相关感知对象的感知周期需对
                 应缩短.其中,T re 、T min 分别表示某一感知对象加入精英集合前的感知周期和最小感知周期,P 表示感知对象引
                 发顶事件的概率.在一段时间内某个基本事件引发顶事件的概率是固定的,假设有一个基本事件 i,且 i 在 4 个时
                 间段 a、b、c 和 d 内引发顶事件的概率分别为 0.1、0.2、0.8 和 0.9,且其实时感知周期分别为 T ta 、T tb 、T tc 和
                 T td ,计算发现(T td –T tc )/T tc 大于(T tb –T ta )/T ta ,即随着基本事件引发顶事件概率的增加,其感知周期缩短幅度也增大.
                                                        ts  (T   re  T min )p   2  T            (12)
                                                                      re
                    感知周期动态修正.本文根据状态异常程度、数据平稳度及感知对象变化引发顶事件的概率着 3 方面因素
                 的实时计算结果可直接得出感知周期,实现对感知周期的动态修正,进而高效识别事件.其中,状态异常度和感
                 知周期则为反向关系,状态异常程度越高,则感知周期越小,以尽快获取异常事件信息,否则可适当增加感知周
                 期;数据平稳度和感知周期为正向关系,如果该段时间内数据平稳,则可增大感知周期,减少感知成本.如果该段
                 时间内数据频繁发生变化,则需减小感知周期.感知对象变化引发顶事件的概率和感知周期为反向关系,对于有
                 较大概率引发顶事件的基本事件,其相关感知对象需进行更为密切的监控.
                    但在系统实际运行过程中,为了防止频繁调整感知周期而造成过大的系统开销,SAFER 设定数据平稳度阈
                 值为 1 、状态异常程度阈值为 2 .并计算数据平稳度、状态异常程度及周期调整系数,若数据平稳度、状态异常
                 程度的实时计算值未超过设定阈值,则主要考虑基本事件引发顶事件的概率这一因素来计算相关感知对象的
                 感知周期 T ts ,即为 ts T re ;在数据平稳度或状态异常程度超出阈值时,则根据该感知周期动态调整方法计算并修改
                 其感知周期.此外,本文将加入精英集合前的感知周期 T re 设为默认感知周期.若计算出的感知周期小于最小感
                 知周期,则用最小感知周期监测感知指标;若计算出的感知周期小于默认感知周期且大于最小感知周期,则用所
                 计算出的感知周期监测感知指标;否则,用默认感知周期进行监测,如式(13)所示, ts 表示周期调整系数,和作
                 为平滑因子.T ts–1 表示前一时刻的感知周期,S ts 表示数据平稳度,A t 表示状态异常程度.
                                                   T min ,      T ≤ T min
                                                                  ts
                                                  
                                              T        T     S ts  ,  T    T   T            (13)
                                               ts  ts  ts 1   A t  min  ts  re
                                                          e
                                                   T re ,       T ≥ T re
                                                  
                                                                  ts
                 4    实验分析
                    本节介绍本文对 SAFER 开展的实验及结果分析工作.首先介绍实验的具体设计方法,然后给出实验的实际
                 结果并进行分析讨论.
                 4.1   实验设计

                    基准方法的选择.本文选择将 SAFER 与目前自适应领域中常用的自适应分析方法进行比较,包括杨启亮团
                 队提出的基于模糊规则推理的方法(以下简称模糊推理方法)                    [13] 、Baader 提出的基于本体推理的方法(以下简称
                 本体推理方法)     [11] 以及在云计算等其他领域中常用的基于概率推理的方法                  [1416] .其中,基于概率推理的方法中
                 选取了最具代表性的 Zhang 采用的贝叶斯网络分析方法                [15] .选取上述方法的主要原因总结如下.
                      在自适应领域中,规则推理方法和本体推理方法是最为经典和常用的分析方法,而模糊推理方法是对规
                 则推理方法的改进,使其能够应对众多环境状态带来的不确定性,相比规则推理方法,其准确性更高,因此,本文
                 选择模糊推理方法和本体推理方法进行对比.
                      在云计算等其他领域中,主要包括基于日志分析、事件关系分析和概率推理的 3 类事件分析方法.现有的
                 基于日志分析的方法大多关注检测日志序列,明确是否发生了系统异常,但未能检测出具体的事件信息,与
                 SAFER 的功能目标不同,因此不被选用作为对比对象.现有的基于事件关系分析的方法主要关注对网络安全事
                 件、入侵事件等网络安全领域事件关系的分析,与自适应领域关注的事件类型不同.因此本文选用了基于概率