本发明公开了一种基于贝叶斯估计的计算机网络对抗情报信息可信度评估系统,包括有服务响应时间实验数据配置模块(11)、先验分布建立模块(1)、先验分布初始值配置模块(12)、评估数据输入模块(2)、Bayes公式构造及计算模块(21)、参数最大后验估计计算模块(22)、后验分布构造模块(23)和信息可信度计算模块(3)。本发明引入贝叶斯统计理论将针对网络节点运行状态中服务响应时间的内容可信度提出一种具体的评估方法,信息可信度是根据信息在历史知识中出现的概率计算得来。贝叶斯统计理论在基于先验分布和后验信息的基础上建立对观察对象的后验分布中得到广泛的应用。
1.一种基于贝叶斯估计的计算机网络对抗情报信息可信度评估系统,其特征在于:包括有服务响应时间实验数据配置模块(11)、先验分布建立模块(1)、先验分布初始值配置模块(12)、评估数据输入模块(2)、Bayes公式构造及计算模块(21)、参数最大后验估计计算模块(22)、样本后验分布构造模块(23)和信息可信度计算模块(3);
服务响应时间实验数据配置模块(11)在评估数据先验分布不存在的情况下,通过读取用户实验数据,生成用户实验数据配置文件FILE11,输出给先验分布建立模块(1);
所述用户实验数据配置文件FILE11的格式为EvaluateTarget,ResponseTime,其中,EvaluateTarget表示实验数据所属目标,为目标标示符;ResponseTime表示用户上报的服务响应时间数据,其中时间值为连续值,为服务响应时间集合;
先验分布初始值配置模块(12)在评估数据先验分布和用户实验数据不存在的情况下,读取用户输入的样本和分布参数的先验分布值,并生成先验分布初始值配置文件FILE12,输出给先验分布建立模块(1);
先验分布建立模块(1)在评估数据先验分布存在的情况下,读取数据库中的先验分布历史信息S1并输出给Bayes公式构造及计算模块(21);在评估数据先验分布不存在的情况下,对接收的用户实验数据配置文件FILE11或者先验分布初始值配置文件FILE12进行处理,生成先验分布历史信息S1并输出给Bayes公式构造及计算模块(21);
评估数据输入模块(2)从数据库中读取待评估的服务响应时间信息和评估参数集合,并生成待评估信息文件FILE2输出给Bayes公式构造及计算模块(21);
Bayes公式构造及计算模块(21)用于构建针对分布参数的后验分布计算的Bayes公式,并计算得出分布参数的后验分布信息S21输出给参数最大后验估计计算模块(22);
所述后验条件概率密度Bayes公式为 由于参数θ是随机
变量,而分母 与θ无关,故有h(θ|RT)∝π(θ)L(θ|RT);在得到参数θ的后验分布之后,利用Bayes参数点估计的方法给出θ的估计值,使用最大后验估计,取使后验分布h(θ|RT)达到最大值的点 作为θ的最大后验估计,也就得到了RT的后验分布 RT(l)的内容可信度是它在所建立的约束条件下的先验分布中出现的概率,因为它表示的是一个响应时间的时间段,因此它在先验分布中出现的概率也就是这个时间段出现的概率
h(θ|RT)表示在样本RT分布下的分布参数θ的后验条件概率密度;
P{RT|θ}表示样本RT的条件分布,π(θ)表示参数θ的分布概率密度;
conditions是指约束条件,l(upper bound)是指RT表示的时间段的上界,l(lower bound)表示下界;
参数最大后验估计计算模块(22)用于计算分布的最大后验估计信息,并输出最大后验估计信息S22给样本后验分布构造模块(23);
样本后验分布构造模块(23)用于计算待评估信息所属样本的后验分布,并输出样本后验分布信息S23给信息可信度计算模块(3);
信息可信度计算模块(3)用于基于后验分布信息构造可信度计算公式并得出最终每条服务响应时间信息的可信度信息。
2.根据权利要求1所述的基于贝叶斯估计的计算机网络对抗情报信息可信度评估系统,其特征在于:先验分布初始值配置模块(12)输出的先验分布初始值配置文件FILE12的 格 式 为 EvaluateTarget,PriorDistrlist,其中EvaluateTarget表示实验数据所属目标,为目标标示符;PriorDistrlist表示评估数据先验分布的参数列表,为用户根据目标标示符输入的以下参数初始值,包括样本均值、样本标准差、分布参数均值、分布参数标准差。
3.根据权利要求1所述的基于贝叶斯估计的计算机网络对抗情报信息可信度评估系统,其特征在于:评估数据输入模块(2)输出的待评估信息文件FILE2的格 式 为 ResponseTime,EvaluateParalist, 其 中EvaluateTarget,ResponseTime表示实验数据所属目标,为目标标示符;EvaluateParalist表示评估参数列表,包括待评估目标EvaluateTarget、待评估数据总和SampleLength、标准分组数GroupStandard;这里的输入数据为离散的时间等级,在下一步时需要先转换为三个连续的时间值之后再参与调整分布。
4.根据权利要求1所述的基于贝叶斯估计的计算机网络对抗情报信息可信度评估系统,其特征在于:服务响应时间信息后验分布构造由三个部分组成,包括Bayes公式构造及计算模块(21)、参数最大后验估计计算模块(22)、样本后验分布构造模块(23),对接收的先验分布历史信息S1和待评估信息文件FILE2进行处理,先是调整并构造信息分布参数的后验分布参数均值和分布参数标准差,取参数后验分布的最大后验估计值作为信息后验分布的参数,构造出信息的后验分布特征值即样本均值和样本标准差。
5.根据权利要求1所述的基于贝叶斯估计的计算机网络对抗情报信息可信度评估系统,其特征在于:信息可信度计算模块(3)接收样本即信息的后验分布信息S23构造可信度计算公式,求得待评估信息表示的时间段在后验分布中出现的概率作为其可信度。
基于贝叶斯估计的计算机网络对抗情报信息可信度评估系
统
技术领域
[0001] 本发明涉及一种对计算机网络对抗(CNO)信息的处理,更特别地说,是指一种基于贝叶斯估计的计算机网络对抗(CNO)情报信息可信度评估系统。
背景技术
[0002] 计算机网络对抗(computer network operations,简称CNO)是指在计算机网络上为获取信息优势而采取增强和维护己方的信息能力、并阻止和削弱对方这种能力和努力的活动和行为。情报过程是指信息转换成情报并为用户获得的过程。过程包括六个相互关联的情报活动:计划和指示、收集、处理和加工、分析和生产、分发和整合、评估和反馈。本专利的研究内容集中在分析与生产阶段的信息可信度评估部分。本专利的研究对象是目标运行状态中的服务响应时间。情报信息是指一个对抗目标的情况(state)包括:随时变化的运行状态(status)和相对稳定的运行平台特征(platform features)。运行状态指的是系统状态的所有属性在某一瞬间的取值。比如系统的负载、带宽和服务响应时间等,是分级的形式。运行状态是两类值的集合。记为:
[0003] STATUS::={info,level|info,level∈N,run(info)∧run(level)}(1)[0004] 谓词run(x)表示x是可随时改变的运行值,info表示信息的离散数值。level表示状态的离散分级,level=0表示状态关闭,level=1,......,n;n≥1表示开启的n级状态。可根据期望程度决定状态的量化分级。本算法的评估对象是level的一种,是对服务响应时间的一种分级表示,服务响应时间(service response time)以下简称为RT,具体的RT值表示的是某一时间段。
[0005] CNO情报系统的信息输入主要来自CNE(计算机网络利用)收集到的关于目标的状态信息,在现实中,没有发现的或没有确定的威胁、不完全的信息、敌方的欺骗行为等都是经常存在的,所以,各信息源提供的信息都具有一定程度的不确定性。具体分析信息不确定性的产生原因有两个方面。一是目标真实情况和其外在表现出来的信息的差距,主要是因为目标本身可能具有欺骗性;二是目标外在表现出来的信息与收集器所收集并上报的信息之间的差距,因为收集器的可靠性受到其所在位置和当前网络环境的影响。直接对目标的行为进行分析是比较困难的,但是收集器的行为和情报内容是人们可以直接接触到的。经过分析将收集器的可靠性和信息内容的准确性以及这两个评估指标的综合作为CNO情报信息可信度评估过程的三大组成部分。
[0006] 可信度评估明确了情报信息的真实性和可靠性,它将影响到指挥决策的质量和效率。可信度是对信任的一种度量,是指人们根据以往经验对某个事物或现象为真的程度的一个判断,或者说是人们对某个事物或现象为真的相信程度。(参考文献:《人工智能》史忠植,王文杰编著,国防工业出版社2007.2)信息可信度评估是对信息就其信息源(在CNO中,信息源是指收集器)可靠性和信息内容准确性给出其可信度的过程。利用信息之间的关联研究针对不同种类情报信息的评估。
[0007] 目前关于信息评估的理论和模型大部分都是从宏观上企图寻找一种适用于所有情况的评估方法,而针对CNO情报信息可信度的评估方法尚未出现。
发明内容
[0008] 本发明针对具体CNO领域情报信息评估算法的研究对于评估工作的实施效果起着重要作用。本发明的目的是针对运行状态中服务响应时间的内容可信度提出一种具体的评估系统,该系统包括有服务响应时间实验数据配置模块(11)、先验分布建立模块(1)、先验分布初始值配置模块(12)、评估数据输入模块(2)、Bayes公式构造及计算模块(21)、参数最大后验估计计算模块(22)、样本后验分布构造模块(23)和信息可信度计算模块(3);在评估数据先验分布不存在的情况下,用户通过服务响应时间实验数据配置模块(11)输入实验数据,生成用户实验数据配置文件;或者通过先验分布初始值配置模块(12)在评估数据先验分布和用户实验数据不存在的情况下,输入样本和分布参数的先验分布值,包括样本均值,样本方差,参数均值和参数方差,并生成先验分布初始值配置文件,输出给先验分布建立模块(1)。而先验分布建立模块(1)在评估数据先验分布存在的情况下,读取数据库中的先验分布历史信息并输出给Bayes公式构造及计算模块(21);而在评估数据先验分布不存在的情况下,对接收的用户实验数据配置文件或者先验分布初始值配置文件进行处理,生成先验分布历史信息并输出给Bayes公式构造及计算模块(21)。先验分布历史信息成功得到之后,由评估数据输入模块(2)从数据库中读取待评估的服务响应时间信息和评估参数集合,并生成待评估信息文件输出给Bayes公式构造及计算模块(21)构建针对分布参数的后验分布计算的Bayes公式,并计算得出分布参数的后验分布信息输出给参数最大后验估计计算模块(22)用于计算分布的最大后验估计信息,并输出最大后验估计信息给样本后验分布构造模块(23)。样本后验分布构造模块(23)用于计算待评估信息所属样本的后验分布,并输出样本后验分布信息给信息可信度计算模块(3)。最后信息可信度计算模块(3)基于后验分布信息构造可信度计算公式得出最终每条服务响应时间信息的可信度信息。
[0009] 情报活动是网络对抗指挥决策中的重要活动。其中,情报可信度评估则是构成情报活动及其过程的基本成分之一。情报是决策活动形成行动方案必不可少的依据,可信度评估明确了情报的真实性和可靠性,它将影响到指挥决策的质量和效率。本发明提出的评估系统中的信息可信度是根据信息在历史知识(先验知识)中出现的概率计算的来。贝叶斯统计理论在基于先验分布和后验信息的基础上建立对观察对象的后验分布中得到广泛的应用。因此本发明引入贝叶斯统计理论解决运行状态中信息内容可信度计算问题。本发明的优势在于:基于贝叶斯统计的思想保证信息可信度的计算都是基于最新的知识积累;针对具有统计规律的服务响应时间设计方法,充分利用评估对象具有统计规律这一特点,相对于通用的可信度评估方法可用性、针对性更强。
附图说明
[0010] 图1是本发明基于贝叶斯估计的CNO情报信息可信度评估方法的结构框图。
[0011] 图中:1.先验分布建立模块 2.评估数据输入模块 3.信息可信度计算模块11.服务响应时间实验数据配置模块 12.先验分布初始值配置模块21.Bayes公式构造及计算模块 22.参数最大后验估计计算模块23.样本后验分布构造模块具体实施方式
[0012] 下面将结合附图和实施例对本发明做进一步的详细说明。
[0013] 本发明是一种基于贝叶斯估计的CNO情报信息可信度评估系统,该系统解决了评估者在与目标交流过程中,在相似情况下同样信息出现的概率越大就认为此条信息可信度越高。
[0014] 参见图1所示,基于贝叶斯估计的CNO情报信息可信度评估系统包括有服务响应时间实验数据配置模块(11)、先验分布建立模块(1)、先验分布初始值配置模块(12)、评估数据输入模块(2)、Bayes公式构造及计算模块(21)、参数最天后验估计计算模块(22)、样本后验分布构造模块(23)和信息可信度计算模块(3)。
[0015] 本专利的基本思想是利用历史知识的积累建立待评估服务响应时间的先验分布,RT的可信度取这一时间段在先验分布里出现的概率。因此本专利申请通过下面三个方面进行详细说明:
[0016] (A)建立评估对象的先验分布
[0017] 为了建立某服务RT的先验分布,需要事先获取用于估计分布类型的数据集,可能来自于两个途径:在相似约束条件下运行相同服务通过实验取得,所得到的RT是连续的时间值RT(t);从相似约束条件的目标或者目标本身的历史情报信息中取得,所得到的RT是分过等级的离散数值RT(l)。这里的约束条件可能包括服务器的平台特征,服务运行的时间段(当这个服务在一天不同时间段内表现迥异的情况下适用)等,使得建立分布时的数据尽量贴近目标服务的运行背景。在对某目标服务响应时间不存在任何先验知识时,可以运用第一种途径获得的数据通过SPSS统计工具分析先验分布类型。由下面三个模块完成这一步骤:
[0018] 服务响应时间实验数据配置模块(11)在评估数据先验分布不存在的情况下,通过读取用户实验数据,生成用户实验数据配置文件FILE11,输出给先验分布建立模块(1)。
[0019] 先验分布初始值配置模块(12)在评估数据先验分布和用户实验数据不存在的情况下,读取用户输入的样本和分布参数的先验分布值,并生成先验分布初始值配置文件FILE12,输出给先验分布建立模块(1)。
[0020] 先验分布建立模块(1)在评估数据先验分布存在的情况下,读取数据库中的先验分布历史信息S1并输出给Bayes公式构造及计算模块(21)。在评估数据先验分布不存在的情况下,对接收的用户实验数据配置文件FILE11或者先验分布初始值配置文件FILE12进行处理,生成先验分布历史信息S1并输出给Bayes公式构造及计算模块(21)。
[0021] 在本发明中,服务响应时间实验数据配置模块(11)输出的用户实验数据配 置 文 件FILE11 的 格 式 为EvaluateTarget,ResponseTime,其中,EvaluateTarget表示实验数据所属目标,为目标标示符;ResponseTime表示用户上报的服务响应时间数据(时间值为连续值),为服务响应时间集合。
[0022] 先验分布初始值配置模块(12)输出的先验分布初始值配置文件FILE12的格 式 为 EvaluateTarget
,PriorDistrlist, 其 中EvaluateTarget表示同上,PriorDistrlist表示评估数据先验分布的参数列表,为用户根据目标标示符输入的以下参数初始值,包括样本均值、样本标准差、分 布 参 数 均 值 、分 布 参 数 标 准 差 。[0023] (B)基于贝叶斯统计调整分布参数
[0024] Bayes统计分析理论基本思想:在取得样本观测值x前往往对参数统计模型中的参数θ有某些先验知识,关于θ的先验知识的数学描述就是先验分布。Bayes统计的主要T特点是使用先验分布,而在得到样本观测值X=(x1,x2,……,xn) 后,由X与先验分布提供的信息,组成较完整的后验信息。之后利用Bayes公式计算得出参数θ的后验分布。
[0025] 在本发明中应用Bayes公式之前需要掌握以下几个信息:
[0026] 1.样本的统计模型是参数统计模型,且统计参数为θ,这是关于RT样本分布的先验知识,我们在上一节先验分布的建立时已经得出了这一信息;
[0027] 2.具备关于θ的先验知识,可以由过去的某些数据资料分析而得,也可以凭过去对θ的某些经验知识获得;
[0028] 3.新的样本观测值X=(x1,x2,……,xn)T,即X=(RT1,RT2,……,RTn)T。
[0029] 有了以上几个信息,就可以构造计算分布参数θ的后验条件概率密度的Bayes公式:
[0030]
[0031] 式中,h(θ|RT)表示在样本RT分布下的分布参数θ的后验条件概率密度,P{RT|θ}表示样本RT的条件分布,π(θ)表示参数θ的分布概率密度,表示样本RT和参数θ的联合分布。
[0032] 由于参数θ是随机变量,而分母 与θ无关,故有:
[0033] h(θ|RT)∝π(θ)L(θ|RT)(3)
[0034] 在Bayes统计中,一般采取这种形式计算方便。在得到参数θ的后验分布之后,就可以利用Bayes参数点估计的方法给出θ的估计值,可以使用最大后验估计,取使后验分布h(θ|RT)达到最大值的点 作为θ的最大后验估计,也就得到了RT的后验分布。
[0035]
[0036] 由下面四个模块完成这一步骤:
[0037] 评估数据输入模块(2)从数据库中读取待评估的服务响应时间信息和评估参数集合,并生成待评估信息文件FILE2输出给Bayes公式构造及计算模块(21);
[0038] Bayes公式构造及计算模块(21)用于构建针对分布参数的后验分布计算的Bayes公式,并计算得出分布参数的后验分布信息S21输出给参数最大后验估计计算模块(22);
[0039] 参数最大后验估计计算模块(22)用于计算分布的最大后验估计信息,并输出最大后验估计信息S22给样本后验分布构造模块(23);
[0040] 样本后验分布构造模块(23)用于计算待评估信息所属样本的后验分布,并输出样本后验分布信息S23给信息可信度计算模块(3);
[0041] 评 估 数 据 输 入 模 块 (2)输 出 的 待 评 估 信 息 文 件FILE2的 格 式为 ResponseTime,EvaluateParalist, 其中 EvaluateTarget,ResponseTime 表 示 的 含 义 同 上,EvaluateParalist表 示评 估 参数 列表,包 括待 评 估目 标EvaluateTarget、待评估数据总和SampleLength、标准分组数GroupStandard。这里的输入数据为离散的时间等级,在下一步时需要先转换为三个连续的时间值之后再参与调整分布。
[0042] (C)获得信息可信度
[0043] RT(l)的内容可信度是它在所建立的约束条件下的先验分布中出现的概率,因为它表示的是一个响应时间的时间段,因此它在先验分布中出现的概率也就是这个时间段出现的概率。即
[0044]
[0045] 这里的conditions是指约束条件,l(upper bound)是指RT表示的时间段的上界,l(lower bound)表示下界。
[0046] 信息可信度计算模块(3)用于基于后验分布信息构造可信度计算公式并得出最终每条服务响应时间信息的可信度信息。
[0047] 实施例:
[0048] 本次实验中的CNO目标是北航网站服务器,可信度评估对象是北航主页响应时间,因此需要建立北航主页响应时间的先验分布。实验采用Wireshark[10]networkprotocol analyzer截获每次访问北航主页时的网络数据包,从中计算出响应时间。在这个实验中对响应时间的定义如下。
[0049] 主页响应时间:TCP三次握手连接建立之后服务器对用户的第一个HTTP报文的响应TCP报文截获时间。一般情况下Wireshark对每次访问数据包截获的第五个报文。
[0050] 考虑到一天中不同时间段的网络流量状况对测试结果的影响,响应时间先验分布建立的实验数据是针对一天中三个不同时段分开进行采集的。在上午、下午和晚上分别测试五十个数据,在SPSS中对这些数据绘制直方图并拟合曲线,可以观察到网站响应时间是基本符合正态分布的,绘制数据的QQ图鉴别样本的分布是否近似于正态分布,从QQ图中可以观察到散点图近似的在一条直线上附近,可认为数据来自正态总体分布。RT~N(μ,2
σ),其密度函数为
[0051]
[0052] 式中,μ和σ为响应时间RT的均值与标准差。
[0053] RT~RT(RT1,RT2,...,RT50)T是来自正态总体N(μ,σ2)的简单随机样本,利用上面的样本数据按照常规的统计方法得到: 在根据新来的数据2 2
对均值进行调整之前需要建立μ的先验分布,正态分布均值N(μ0,τ),其中μ0和τ 属于超参数,通过对50个数据进行分组,求的每个组内的均值,得到均值样本之后按照常规统计方法得出 由此得到了分布参数的先验分布。
[0054] 收集器从CNO目标处收集到最新信息之后组成后验信息集合RT′=(RT′1,RT2′,..,RT10′)T,由公式(2),得
[0055]
[0056]
[0057] 中间计算过程省略,得出μ的后验分布 其中
[0058]
[0059]
[0060] 取 作为均值的最大后验估计 且
[0061]
[0062] 计算一条信息RT=8(表示时间段1.4ms至1.7ms,RT表示等级的划分由收集器决定)的可信度,由公式(5)所示,得
[0063]
[0064] 使用本发明,首先,在评估数据先验分布不存在的情况下,用户通过服务响应时间实验数据配置模块(11)输入实验数据,生成用户实验数据配置文件;或者通过先验分布初始值配置模块(12)在评估数据先验分布和用户实验数据不存在的情况下,输入样本和分布参数的先验分布值,包括样本均值,样本方差,参数均值和参数方差,并生成先验分布初始值配置文件,输出给先验分布建立模块(1)。而先验分布建立模块(1)在评估数据先验分布存在的情况下,读取数据库中的先验分布历史信息并输出给Bayes公式构造及计算模块(21);而在评估数据先验分布不存在的情况下,对接收的用户实验数据配置文件或者先验分布初始值配置文件进行处理,生成先验分布历史信息并输出给Bayes公式构造及计算模块(21)。先验分布历史信息成功得到之后,由评估数据输入模块(2)从数据库中读取待评估的服务响应时间信息和评估参数集合,并生成待评估信息文件输出给Bayes公式构造及计算模块(21)构建针对分布参数的后验分布计算的Bayes公式,并计算得出分布参数的后验分布信息输出给参数最大后验估计计算模块(22)用于计算分布的最大后验估计信息,并输出最大后验估计信息给样本后验分布构造模块(23)。样本后验分布构造模块(23)用于计算待评估信息所属样本的后验分布,并输出样本后验分布信息给信息可信度计算模块(3)。最后信息可信度计算模块(3)基于后验分布信息构造可信度计算公式得出最终每条服务响应时间信息的可信度信息。
[0065] 本发明提出的基于贝叶斯估计的情报信息可信度评估系统,强调先验分布在评估者决定时的重要作用,利用具体情况下服务响应时间呈现特定分布的特点,找出并建立信息分布的规律,将待评估信息在先验分布中出现的概率作为其可信度。实验详细地描述了一次先验分布的建立和可信度的计算过程,证明贝叶斯统计能够根据新信息及时地调整先验分布,保证可信度评估是基于最新的知识给出的。本算法除了可以为IICEM中纵向关联提供具体的计算方法之外,同时为分析情报目标行为模型及情报不确定性提供了可能的参考依据。
