CN113162930A - 一种基于电力cps的网络安全态势感知方法 - Google Patents

Abstract

本发明公开了一种基于电力CPS的网络安全态势感知方法，包括如下步骤：S1：报警数据预处理；S2：报警数据融合，使用基于可信度的报警信息融合方法进行多源报警信息融合；S3：基于威胁传播树的电力CPS安全风险评估。本发明基于电力CPS的网络安全态势感知方法，在对安全报警日志数据的预处理中可以利用时空特性进行关联分析，进一步归并冗余数据，提高了处理效率；有效性高，一个威胁安全的行为常常会在不同的设备的日志中留下痕迹这些痕迹在时间和空间往往存在着关联，时间上和空间上往往是相同或相近，利用这一性质可以有效辨别一些错误的数据和澘在威胁。

Description

一种基于电力CPS的网络安全态势感知方法

技术领域

本发明涉及一种基于电力CPS的网络安全态势感知方法，属于电力***安全防护技术领域。

背景技术

随着我国电力***信息化进程推进，传统的电力***逐步演变成为更加复杂的电力信息物理***(Cyber Physical Power System,CPPS)(简称“电力CPS”)，电力CPS主要由电力信息***和电力物理***组成。电力CPS切实提高了电力***的信息化、自动化、智能化程度，与此同时也不可避免的带来了一些潜在的风险问题，这是由信息***与物理***耦合过程中复杂机理导致的，该类风险具有级联性、隐蔽性。由于信息***与物理***的耦合不断加强，电力***复杂度增加，使得对电力***受攻击风险的分析难度也逐日增加。电力信息***在电力***高效调度和提高对电力***监控能力中发挥重要作用，而电力信息***的故障很可能会对电力***造成较大的影响。因为在电力CPS中，电力信息***威胁可通过信息流实现由信息空间到物理空间的跨域传播，即电力信息***若受到安全威胁、***故障很可能通过监控的信息流而影响到大量的控制终端设备运作，进而影响到电力物理空间的电力设备安全运行甚至引起级联故障。

为满足与日俱增的电力需求和自动化程度深化要求，电力***拓扑日益复杂、信息化程度加深导致岀现多个可被攻击薄弱环节，使得电力***的安全管理面临更大挑战。电力信息***运行中产生大量的日志信息，日志信息中蕴藏着电力***运行的重要信息。电力信息***日志数据具有数据量巨大、不同日志间无直接关联结构不统一等特点。电力***为应对新形势下的网络安全问题，新的检测技术也相继应用，如脆弱性检测技术、代码检测技术、入侵检测技术等，但这些传统的安全方法仍不能满足电力***安全管理需求。首先，这些技术分别从不同角度检査网络问题，提高了威胁检测的能力。但是传统网络安全技术，只是各自为战，已经无法满足新形势下的网络安全需求。同时，需要从多个的角度安全信息处理，也提高了网络管理员的要求，限制了管理员做出正确决策的能力。其次，多次大停电事件是由信息***故障引起的，而这些传统的网络安全技术无法考虑到电力信息***与电力物理***之间的威胁传播机制。

发明内容

本发明旨在研究电力CPS的网络安全态势评估，在电力信息***日志信息基础上，采用时空关联、数据融合、态势感知等技术设计一个针对电力信息***安全态势感知***，可以从大量且存在噪声的安全设备数据中，通过日志的关联和融合等技术综合考虑多种安全要素，实现网络安全态势的理解，预测网络安全态势发展趋势，以尽可能地降低因攻击造成的损失。

为解决上述技术问题，本发明所采用的技术方案如下：

一种基于电力CPS的网络安全态势感知方法，包括如下步骤：

S1：报警数据预处理；

S2：报警数据融合，使用基于可信度的报警信息融合方法进行多源报警信息融合；

S3：基于威胁传播树的电力CPS安全风险评估：首先，通过告警信息的时空关联关系分析和攻击效果评估对报警信息的重要性进行评估，进而剔除错误报警信息，以提高报警信息的准确性；其次，在方法中分别针对电力***的物理***和信息***特点进行节点重要性评估，并考虑到电力***信息域与物理域以及跨域的威胁传播，以达到更加客观全面的使用威胁传播树对电力CPS网络安全态势评估；再次，使用改进威胁传播树进行态势评估。

本发明给出一种改进威胁传播树生成算法，相比于传统的威胁传播树，本算法结合电力***规模巨大现实状况增加了时效性和精确度折中算法，以避免大运算力与小收益的矛盾。

上述方法为基于时空特性的基于电力CPS的网络安全态势感知方法，可用于电力信息***中的安全风险评估。

为了实现网络安全态势的理解，预测网络安全态势发展趋势，以尽可能地降低因攻击造成的损失，对于电力***的安全态势感知主要为以下步骤：

S1：报警数据预处理：

针对报警数据融合需求选择合理的数据预处理方式，包括：规范化和归并，本发明研究重点是通过数据融合技术提高报警准确性，因此，本发明对网络安全日志分析无关的日志属性直接过滤，以减少存储压力。

S2：报警数据融合：

多源报警信息融合中，面对传统D-S证据论不能很好处理各数据源存在冲突问题，冲突的原因主要有错误信息、融合中对所有数据源信息平等对待等。然而，在实际中各个数据源可信度存在差异。所以应该对不同的可信度数据源进行合理差异操作，使得不同的对融合结果影响更加合理，已达到融合结果更加符合实际情况的目的。本发明中使用基于可信度的报警信息融合方法进行多源报警信息融合。报警信息融合中，首先对各个数据源进行加权平均，然后再使用Dempster组合规则进行报警信息融合。

S3：基于威胁传播树的电力CPS安全风险评估：

首先，通过告警信息的时空关联关系分析和攻击效果评估对报警信息的重要性进行评估，进而剔除错误报警信息，以提高报警信息的准确性；其次，在方法中分别针对电力***的物理***和信息***特点进行节点重要性评估，并考虑到电力***信息域与物理域以及跨域的威胁传播，以达到更加客观全面的使用威胁传播树对电力CPS网络安全态势评估。进一步给出一种改进威胁传播树生成算法，相比于传统的威胁传播树，本算法结合电力***规模巨大现实状况增加了时效性和精确度折中算法，以避免大运算力与小收益的矛盾。

步骤S1中，对报警数据预处理主要包含如下步骤：

S101：报警日志规范化；

S102：报警信息归并。

步骤S101中，规范化过程中针对常出现的字段，在规范化过程中选择提取源IP地址、源端口、目标IP地址、目标端口、时间戳、异常类型和优先级、其他等安全要素，为方便后续对报警信息的时间进行分析计算，在数据规范化中将原始日志的时间信息转化为由 1月1号O时开始所经过的秒数。在最后报警信息融合完成后再将时间信息恢复为用户直观的时间表示方式。

步骤S102中，归并过程主要涉及对冗余数据的处理，本发明在数据报警信息归并中，使用基于属性相异度的报警信息归并方法，分别对来自相同网络安全设备的报警信息进行归并，当两个报警信息相异度小于阈值时，进行对其归并操作；大于阈值，则将后来的报警信息成为新报警信息在对同一设备的报警信息进行归并后，统一将归并后的报警信息进行归并。

考虑到数据量大，为了更加高效的计算，尽可能选择少并且重要的属性进行报警信息的相异度分析，归并过程中主要考虑时空关联，利用时空关联对冗余报警进行分析，在时间维度上表现为报警信息的报警时间，在空间维度上表现为IP地址，即通过时间、源IP地址、目的IP地址赋予不同的权重来进行相异度计算，相异度计算如下：

D_ij＝ω_t×d_t+ω_{src_ip}×d_{src_ip}+ω_{dst_ip}×d_{sdst_ip} (1)

d_t＝(t_i-t_j)/r (2)

式中D_ij代表报警信息i，报警信息j的相异度；ω_t为时间相异度的权重；ω_{src_ip}为源 P地址相异度权重；ω_{dst_ip}为目的IP地址相异度权重ω_{dst_ip}；d_t为归一化后的时间差；t_i为报警信息i的时间；t_j为报警信息j的时间；r为可以进行归并的最大时间差，取r＝300；d_{src_ip}为归一化后源地址相异度，index_{src_diff}为两个源地址转换成二进制位之后的第一位不同的位置下标，同理可得d_{dst_ip}为归一化后源地址相异度，index_{dst_diff}为两个目的地址转换成二进制位之后的第一位不同的位置下标。

上述步骤S2中，使用基于可信度的报警信息融合方法进行多源报警信息融合，主要包含步骤如下：

S201：数据源可信度分析；

S202：多源数据报警信息融合。

步骤S201中，数据源可信度分析，使用灰色关联度分析计算各个数据源两两之间的支持度，以便于量化各个数据源在多个数据源中被支持的程度，以snort报警信息为例进行分析：

1)确定参考序列和比较数列：snort报警信息各个时刻的snort报警信息为参考序列 x₁，假设共有n个时刻，共有m种报警数据源，其他m-1种报警数据源的报警信息序列 x₂,x₃,...,x_m，将x₁与x₂,x₃,...,x_m逐个进行比较，计算关联度：

2)t时刻两个序列之间的差值为报警信息关联度，序列x_i与参考序列x₁的关联系数ξ_i0：

式中△(min)为序列x_i序列与序列x₀在各个时刻中的最小差值，同理△(max)为最大差值；ρ为分辨系数，取值范围为[0,1]；

3)序列x_i参考序列与参考序列x₀的灰色关联度r_0i：

r_0i值越接近1说明序列x_i序列与序列x₀的相关性越好；

两个数据源的关联度越髙，则说明该两个数据源相互的支持度越高，所以数据源之间的关联度作为支持度，即支持度S_ij＝r_ij得到支持度矩阵：

由于支持度矩阵为对称矩阵即S_ij＝r_ij，获取支持度矩阵总共需要进行m×(m-1)/2次报警信息序列的灰色关联度计算，通过支持度矩阵可得，其他数据源对数据源i的总支持度为：

一个网络攻击行为会在多个安全设备留下痕迹，可以认为：一个数据源的总支持度越髙，则该数据源信息的越准确即可信度越高；总支持度越低，则该数据源信息的越不准确即可信度越低；其他数据源对数据源ⅰ的总支持度越高，则数据源的可信度越高，将各个数据源的可信度归一化，数据源i的可信度为：

各个数据源的可信度之和为1。

步骤S202中，多源数据报警信息融合过程中，首先将状态划分为四种安全状态，即在一个时刻，有四种状态分别量化为0、1、2、3，由低到高分别标识四个威胁等级，0 表示安全无异常，3表示威胁等级最高，数据源i的报警信息表达在t时刻的状态取值，表示为k(x_i(t))，将各个数据源的可信度作为该数据源权重，即ω_i＝C_i，根据权重进行加权平均，求各个时刻对应的威胁期望：

得到加权平均序列为：

x_MAE＝{x_MAE(t)|t＝1,2,...,n}＝(x_MAE(1),x_MAE(2),...,x_MAE(n)) (12)

釆用三角模糊数建立威胁期望x_MAE在0、1、2、3四个威胁等级上的隶属度分布模型，隶属度函数分别为：μ₀、μ₁、μ₂、μ₄，一个时刻的威胁值对于四个威胁等级的隶属度，为威胁等级定级分析提供基础，该模型确立了一个期望值对应各个威胁等级的可能性；

两个隶属度函数交集部分代表该部分取为复合类别，所以需要融合收殓；假设总共有 m个数据源，则需将加权平均序列x_MAE使用Dempster组合规则进行m-1次融合，得出各个时刻报警的最终融合结果，在进行融合后，若某一威胁的等级k的隶属度大于阈值a，则将该时刻的威胁等级定为k，若四个威胁等级的隶属度均小于a，则将该时刻的威胁等级定为0级。

上述步骤S3中，基于威胁传播树的电力CPS安全风险评估主要包含如下步骤：

S301：使用改进LOF算法综合报警信息可信度和造成的威胁对异常点的重要性进行评估；

S302：分别对电力CPS中电力物理网络和电力信息网络的重要性进行量化评估；

S303：使用改进威胁传播树进行态势评估。

步骤S301中，LOF算法(Local outlier factor)，是一种无监督的离群点检测方法，在该算法中计算每个点的离群因子(LOF)。离群因子，越接近1则说明该点越有可能是正常点，反之则越可能是离群点。传统的LOF算法中第k距离领域并不适用于本发明所述场景，存在不确定因素，很可能出现复杂度过高或者采样不够全面的情况。此处对LOF 算法进行改进，即是在有效距离领域和可达距离的基础上求取离群因子，以下是相关定义：

1)两点距离d(p,o)：两点p和o之间的距离。

2)有效距离(e-distance)：综合考虑时空因素，由时间差和拓扑距离组成。

3)有效距离领域N_e(p)：为与点p的距离小于或等于有效距离的所有点的集合。

4)可达距离(reach-distance(p,o)：点o到任意点p的可达距离定义为：

reach-distance(p,o)＝min{e-distance(o),d(p,o)} (13)

5)局部可达密度：点p的局部可达密度表示为

式中lrd_e(p)为N_e(p)所包含点的可达密度的倒数的平均值。Lrd_e(p)越大则点p是离群点的可能性越小，反之则点p是离群点的可能性越大。

6)局部离群因子：点p的局部离群因子表示为

LOF_e(p)表示点p与N_e(P)所包含点的可达密度比的平均数值，LOF_e(p)越接近于1，则表示p点是离群点的可能性更低，LOF_e(p)<1，表示点p的密度高于N_e(P)包含点的平均密度，LOF_e(p)>1，表示点p的密度低于N_e(p)包含点平均密度。

步骤S302中，节点重要性评估中，电力物理***是电力***的核心部分，电力信息***即通信网络是电力***的重要组成部分，在本发明中按照电力物理***占0.8的权重，电力信息通信***占0.2的权重。

1)电力物理***的网络节点重要性评估：

本文中采取***科学分析方法分析电力节点重要性，把对电力***所造成的级联故障的故障规模等价于该节点的重要性；电力***中的信息***的网络节点可以采取独立供电并能在一定程度上实现故障修复，因此在本文中不考虑电力物理***的网络节点故障造成的威胁传播至信息通信节点。

将电力物理***抽象为网络，其中负载、发电机和变电站为网络节点，输电线路为有向边，每条边对应一个效率值，对应实际传输过程中的损耗，效率矩阵D＝{d_i,j}，当i＝j时，d_i,j表示是发电机、负载等电力***设备上当前的功率，发电机的d_i,j>0表示向外输出有功功率，负载的d_i,j<0表示消耗有功功率；当i≠j时，若d_i,j＝0表示节点与节点j之间不存在边；若0<d_i,j≤1，表示节点i到节点j之间边的效率值；

对于电力物理***的级联故障分析，本发明通过使用基于复杂网络理论的电网级联故障分析方法来更新效率矩阵D，并对电力物理***进行级联故障仿真，电力物理***的网络节点的重要性权重为：

式中，ω_i表示电力物理***的网络节点i在整个电力CPS中所占权重；V_e表示电力物理***的网络节点集合；G_i、G_j为假设对节点i、节点j在级联故障模拟中单独对其进行移除操作后电力物理***中出现的故障节点个数。

2)电力信息***的网络节点重要性评估：

节点是网络的重要组成部分，节点与连接构成网络，节点的度和聚集系数可以较好的体现一个通信节点在通信网络中的重要性，所以可通过节点的度和聚集系数进行节点重要性评估，公式如下：

F_j＝(1-a)×A_j+a×D_j (18)

式中，ω_j为电力信息***的网络节点j在电力CPS中的权重；V_j表示电力信息通信网络节点集合；v_e表示调度中心节点；F_j、F_k分别表示节点j和节点k的节点重要性评价； a取0.8；A_j为节点j的局部聚集系数，D_j为节点j的度；C_j为与节点j逻辑联通的节点之间边的总数。

步骤S303中，威胁传播期望量化：

影响攻击选择的因素有多个，包括攻击者对***的了解程度、攻击者的个人喜好、攻击目标节点的脆弱性等。首先定义一个衰减因子f_s,e∈[0,1]，表示威胁从电力信息网络节点s传播到电力物理网络节点e的阻隔效果，f_s,e＝1表示节点s故障将导致节点e故障，f_s,e＝0则表示节点s到节点e的威胁传播将被完全阻隔，即节点s故障不会影响到节点ε，若信息通信网络节点s是对电力物理节点ε进行直接监控的控制单元节点，则f_s,e＝1；

为了方便计算，假定下一步攻击节点按照攻击难度和节点的重要性权重来选择，若节点i为已经被成功攻击且未被修复完成的热源节点，节点j为与节点i的邻居节点，节点i对节点j的威胁的数学期望：

E_i,j＝ω_j×p_i,j×λ_j×a_i (20)

式中，E_i,j表示热源节点i选择下一步攻击选择节点j的攻击效果的数学期望；P_i,j表示热源节点i下一步选择攻击节点j的概率；λ_j和λ_k分别表示节点j和节点k的攻击难度，若节点j为电力物理节点，则λ_j＝f_i,j；若节点j为信息节点，λ_j参考通用安全脆弱性***，同理求得λ_k；ω_j和ω_i分别表示节点j和节点i的权重；N_i表示与i节点在逻辑上连通的节点集合；a_i为节点受到攻击的程度。

传统威胁传播树存在对期望值计算中只考虑到整个传播树的出现概率，不考虑各个节点期望值；在计算中没有对复杂度和时效性进行折中；在计算不同威胁传播树时可能存在对用一威胁重复累加计算的情况不足等问题，本发明在考虑计算结果精确度、计算时效性的折中性、以及精确到每个节点受到威胁评估、避免重复计算威胁传播期望的基础上，给出一种基于改进威胁传播树的电力CPS态势评估算法。

将节点类型划分为3类：①活动节点(Active Node，AN)：当前时刻收到威胁，有可能成为下一个热源节点的节点；②死节点(Inactive Node，IN)：是热源节点或曾是热源节点的节点，且不会再被危险再次作用的节点；③可激活节点(Activatable Node，ATN)：网络中还未受到威胁的节点，在威胁传播树的构造过程中，应遵循以下规则：

1)一个节点成为热源节点后，以该热源节点进行威胁传播树的构造过程中威胁无法传播到该点；

2)活动节点只能向相邻节点传播威胁，当威胁传播成功后，该活动节点立即变为死节点，死节点不再被威胁作用；

3)当活动节点成为热源节点后，相邻的可激活节点成为活动节点；

4)一个节点不允许受到多个威胁同时作用，但允许一个节点同时向其相邻的可激活节点进行威胁传播，使可激活节点成为活动节点；

5)因为再威胁传播树算法中，运算的空间和时间复杂度都伴随着每一次递归的进行成指数级增长，所以需要对进行运算与否进行一次决策，决策算法使用代价函数C表示，“+”表示进行下一步的运算，“-”表示停止运算，C(+,-)表示应该进行下一步运算时，停止运算所付出的代价；同理C(-,+)表示应该停止运算，但又继续进行下一步运算所付出的代价，根据当前已经获得信息对继续运算所获得信息的价值进行初步估算，C(+,-) 为当前威胁传播树的威胁期望值，

式中，C(+,-)为放弃计算的代价；T_k一棵拥有k个节点的威胁传播树；

表示该威胁传播树所造成的威胁期望值；

式中，C(-,+)为继续下一步计算的代价的估计，在判断是否求解i个系欸点威胁传播树时形成的斜率s_q,i为：

式中，s_q,i越大表示同等计算复杂度下所得到的信息价值可能越大，s_q,i过小表示计算复杂度明显增加而所得到的信息价值可能依然很小，s_q,i可以直观的为是否继续计算决策提供直观的参考。

为进一步提高算法的时效性，通过确定最大计算复杂度O_max、可忽略复杂度O_min，从而得到决策函数：

式中，T_k表示一棵拥有k个节点的威胁传播树，

的取值范围为0≤d≤1，当

时表示在T_k基础上进一步求取k+1节点威胁传播树集合，否则停止计算；

6)网络中没有活动节点或者

时，威胁传播树构造完成。

威胁传播树生成算法，输入为热源节点，输出为威胁传播树集。威胁传播树生成算法的决策函数能结合不同的运算环境进行时效性和精确度折中，根据运算环境合理控制威胁传播树生成的复杂度。

所有有效的热源节点所构成威胁的期望值即为最终的网络安全态势评估值。在进行态势计算之前需要对威胁传播树进行编码，生成对应的编码树。通过编码树进行威胁期望计算，可以避免对同一威胁的重复计算，提高态势评估的准确性。

由热源节点导致的威胁期望计算，输入为威胁传播树集T_S，输出为最终的态势估计结果S_A。

本发明未提及的技术均参照现有技术。

本发明基于电力CPS的网络安全态势感知方法，效率高，在对安全报警日志数据的预处理中可以利用时空特性进行关联分析，进一步归并冗余数据，提高处理效率；有效性高，一个威胁安全的行为常常会在不同的设备的日志中留下痕迹这些痕迹在时间和空间往往存在着关联，时间上和空间上往往是相同或相近，利用这一性质可以有效辨别一些错误的数据和澘在威胁。

附图说明

图1为本发明电力***安全态势感知***示意图；

图2为本发明实施例中威胁期望x_MAE在0、1、2、3四个威胁等级上的隶属度分布模型；

图3为本发明实施例中两个隶属度函数融合收殓图；

图4为本发明实施例中改进的LOF算法流程图；

图5为本发明实施例中威胁传播树生成算法流程图；

图6为本发明实施例中网络安全态势评估图；

具体实施方式

为了更好地理解本发明，下面结合实施例进一步阐明本发明的内容，但本发明的内容不仅仅局限于下面的实施例。

为了实现网络安全态势的理解，预测网络安全态势发展趋势，以尽可能地降低因攻击造成的损失，如图1所示，电力***安全态势感知***包括顺序相接的数据预处理***、报警融合***、威胁传播期望量化计算***和态势评估***，基于电力CPS的网络安全态势感知方法，包括如下步骤：

S1：报警数据预处理：

针对报警数据融合需求选择合理的数据预处理方式，包括：规范化和归并，本发明研究重点是通过数据融合技术提高报警准确性，因此，本发明对网络安全日志分析无关的日志属性直接过滤，以减少存储压力。

S2：报警数据融合：

多源报警信息融合中，面对传统D-S证据论不能很好处理各数据源存在冲突问题，冲突的原因主要有错误信息、融合中对所有数据源信息平等对待等。然而，在实际中各个数据源可信度存在差异。所以应该对不同的可信度数据源进行合理差异操作，使得不同的对融合结果影响更加合理，已达到融合结果更加符合实际情况的目的。本发明中使用基于可信度的报警信息融合方法进行多源报警信息融合。报警信息融合中，首先对各个数据源进行加权平均，然后再使用Dempster组合规则进行报警信息融合。

S3：基于威胁传播树的电力CPS安全风险评估：

首先，通过告警信息的时空关联关系分析和攻击效果评估对报警信息的重要性进行评估，进而剔除错误报警信息，以提高报警信息的准确性；其次，在方法中分别针对电力***的物理***和信息***特点进行节点重要性评估，并考虑到电力***信息域与物理域以及跨域的威胁传播，以达到更加客观全面的使用威胁传播树对电力CPS网络安全态势评估。进一步给出一种改进威胁传播树生成算法，相比于传统的威胁传播树，本算法结合电力***规模巨大现实状况增加了时效性和精确度折中算法，以避免大运算力与小收益的矛盾。

步骤S1中，对报警数据预处理主要包含如下步骤：

S101：报警日志规范化；

S102：报警信息归并。

步骤S101中，规范化过程中针对常出现的字段，在规范化过程中选择提取源IP地址、源端口、目标IP地址、目标端口、时间戳、异常类型和优先级、其他等安全要素，为方便后续对报警信息的时间进行分析计算，在数据规范化中将原始日志的时间信息转化为由 1月1号O时开始所经过的秒数。在最后报警信息融合完成后再将时间信息恢复为用户直观的时间表示方式。

步骤S102中，归并过程主要涉及对冗余数据的处理，本发明在数据报警信息归并中，使用基于属性相异度的报警信息归并方法，分别对来自相同网络安全设备的报警信息进行归并，当两个报警信息相异度小于阈值时，进行对其归并操作；大于阈值，则将后来的报警信息成为新报警信息在对同一设备的报警信息进行归并后，统一将归并后的报警信息进行归并。

考虑到数据量大，为了更加高效的计算，尽可能选择少并且重要的属性进行报警信息的相异度分析，归并过程中主要考虑时空关联，利用时空关联对冗余报警进行分析，在时间维度上表现为报警信息的报警时间，在空间维度上表现为IP地址，即通过时间、源IP地址、目的IP地址赋予不同的权重来进行相异度计算，相异度计算如下：

D_ij＝ω_t×d_t+ω_{src_ip}×d_{src_ip}+ω_{dst_ip}×d_{sdst_ip} (1)

d_t＝(t_i-t_j)/r (2)

式中D_ij代表报警信息i，报警信息j的相异度；ω_t为时间相异度的权重，ω_t＝0.2；ω_{src_ip}为源P地址相异度权重，ω_{src_ip}＝0.3；ω_{dst_ip}为目的IP地址相异度权重ω_{dst_ip}＝0.5；d_t为归一化后的时间差；t_i为报警信息i的时间；t_j为报警信息j的时间；r为可以进行归并的最大时间差，取r＝300；d_{src_ip}为归一化后源地址相异度，index_{src_diff}为两个源地址转换成二进制位之后的第一位不同的位置下标，同理可得d_{dst_ip}为归一化后源地址相异度，index_{dst_diff}为两个目的地址转换成二进制位之后的第一位不同的位置下标。

步骤S2中，使用基于可信度的报警信息融合方法进行多源报警信息融合，主要包含步骤如下：

S201：数据源可信度分析；

S202：多源数据报警信息融合。

步骤S201中，数据源可信度分析，使用灰色关联度分析计算各个数据源两两之间的支持度，以便于量化各个数据源在多个数据源中被支持的程度，以snort报警信息为例进行分析：

1)确定参考序列和比较数列：snort报警信息各个时刻的snort报警信息为参考序列 x₁，假设共有n个时刻，共有m种报警数据源，其他m-1种报警数据源的报警信息序列 x₂,x₃,...,x_m，将x₁与x₂,x₃,...,x_m逐个进行比较，计算关联度：

2)t时刻两个序列之间的差值为报警信息关联度，序列x_i与参考序列x₁的关联系数ξ_i0：

式中△(min)为序列x_i序列与序列x₀在各个时刻中的最小差值，同理△(max)为最大差值；ρ为分辨系数，取值范围为[0,1]，在本例中取ρ＝0.5；

3)序列x_i参考序列与参考序列x₀的灰色关联度r_0i：

r_0i值越接近1说明序列x_i序列与序列x₀的相关性越好；

两个数据源的关联度越髙，则说明该两个数据源相互的支持度越高，所以数据源之间的关联度作为支持度，即支持度S_ij＝r_ij得到支持度矩阵：

由于支持度矩阵为对称矩阵即S_ij＝r_ij，获取支持度矩阵总共需要进行m×(m-1)/2次报警信息序列的灰色关联度计算，通过支持度矩阵可得，其他数据源对数据源i的总支持度为：

一个网络攻击行为会在多个安全设备留下痕迹，可以认为：一个数据源的总支持度越髙，则该数据源信息的越准确即可信度越高；总支持度越低，则该数据源信息的越不准确即可信度越低；其他数据源对数据源ⅰ的总支持度越高，则数据源的可信度越高，将各个数据源的可信度归一化，数据源i的可信度为：

各个数据源的可信度之和为1。

步骤S202中，多源数据报警信息融合过程中，首先将状态划分为四种安全状态，即在一个时刻，有四种状态分别量化为0、1、2、3，由低到高分别标识四个威胁等级，0 表示安全无异常，3表示威胁等级最高，数据源i的报警信息表达在t时刻的状态取值，表示为k(x_i(t))，将各个数据源的可信度作为该数据源权重，即ω_i＝C_i，根据权重进行加权平均，求各个时刻对应的威胁期望：

得到加权平均序列为：

x_MAE＝{x_MAE(t)|t＝1,2,...,n}＝(x_MAE(1),x_MAE(2),...,x_MAE(n)) (12)

釆用三角模糊数建立威胁期望x_MAE在0、1、2、3四个威胁等级上的隶属度分布模型，隶属度函数分别为：μ₀、μ₁、μ₂、μ₄，一个时刻的威胁值对于四个威胁等级的隶属度，为威胁等级定级分析提供基础，该模型确立了一个期望值对应各个威胁等级的可能性，如附图2所示；

两个隶属度函数交集部分代表该部分取为复合类别，所以需要融合收殓，如附图3所示；假设总共有m个数据源，则需将加权平均序列x_MAE使用Dempster组合规则进行m-1次融合，得出各个时刻报警的最终融合结果，在进行融合后，若某一威胁的等级k的隶属度大于阈值a，则将该时刻的威胁等级定为k，若四个威胁等级的隶属度均小于a，则将该时刻的威胁等级定为0级，在本发明中经过分析和多次实验验证，验证将a的取值定为a＝0.6。

上述步骤S3中，基于威胁传播树的电力CPS安全风险评估主要包含如下步骤：

S301：使用改进LOF算法综合报警信息可信度和造成的威胁对异常点的重要性进行评估；

S302：分别对电力CPS中电力物理网络和电力信息网络的重要性进行量化评估；

S303：使用改进威胁传播树进行态势评估。

步骤S301中，LOF算法(Local outlier factor)，是一种无监督的离群点检测方法，在该算法中计算每个点的离群因子(LOF)。离群因子，越接近1则说明该点越有可能是正常点，反之则越可能是离群点。传统的LOF算法中第k距离领域并不适用于本发明所述场景，存在不确定因素，很可能出现复杂度过高或者采样不够全面的情况。此处对LOF 算法进行改进，即是在有效距离领域和可达距离的基础上求取离群因子，以下是相关定义。

1)两点距离d(p,o)：两点p和o之间的距离。

2)有效距离(e-distance)：综合考虑时空因素，由时间差和拓扑距离组成。

3)有效距离领域N_e(p)：为与点p的距离小于或等于有效距离的所有点的集合。

4)可达距离(reach-distance(p,o)：点o到任意点p的可达距离定义为：

reach-dis tan ce(p,o)＝min{e-dis tan ce(o),d(p,o)} (13)

5)局部可达密度：点p的局部可达密度表示为

式中lrd_e(p)为N_e(p)所包含点的可达密度的倒数的平均值。Lrd_e(p)越大则点p是离群点的可能性越小，反之则点p是离群点的可能性越大。

6)局部离群因子：点p的局部离群因子表示为

LOF_e(p)表示点p与N_e(P)所包含点的可达密度比的平均数值，LOF_e(p)越接近于1，则表示p点是离群点的可能性更低，LOF_e(p)<1，表示点p的密度高于N_e(P)包含点的平均密度，LOF_e(p)>1，表示点p的密度低于N_e(p)包含点平均密度。改进的LOF算法流程图见附图4所示。

步骤S302中，节点重要性评估中，电力物理***是电力***的核心部分，电力信息***即通信网络是电力***的重要组成部分，在本发明中按照电力物理***占0.8的权重，电力信息通信***占0.2的权重。

1)电力物理***的网络节点重要性评估：

本文中采取***科学分析方法分析电力节点重要性，把对电力***所造成的级联故障的故障规模等价于该节点的重要性；电力***中的信息***的网络节点可以采取独立供电并能在一定程度上实现故障修复，因此在本文中不考虑电力物理***的网络节点故障造成的威胁传播至信息通信节点。

将电力物理***抽象为网络，其中负载、发电机和变电站为网络节点，输电线路为有向边，每条边对应一个效率值，对应实际传输过程中的损耗，效率矩阵D＝{d_i,j}，当i＝j时，d_i,j表示是发电机、负载等电力***设备上当前的功率，发电机的d_i,j>0表示向外输出有功功率，负载的d_i,j<0表示消耗有功功率；当i≠j时，若d_i,j＝0表示节点与节点j之间不存在边；若0<d_i,j≤1，表示节点i到节点j之间边的效率值；

对于电力物理***的级联故障分析，本发明通过使用基于复杂网络理论的电网级联故障分析方法来更新效率矩阵D，并对电力物理***进行级联故障仿真，电力物理***的网络节点的重要性权重为：

式中，ω_i表示电力物理***的网络节点i在整个电力CPS中所占权重；V_e表示电力物理***的网络节点集合；G_i、G_j为假设对节点i、节点j在级联故障模拟中单独对其进行移除操作后电力物理***中出现的故障节点个数。

2)电力信息***的网络节点重要性评估：

节点是网络的重要组成部分，节点与连接构成网络，节点的度和聚集系数可以较好的体现一个通信节点在通信网络中的重要性，所以可通过节点的度和聚集系数进行节点重要性评估，公式如下：

F_j＝(1-a)×A_j+a×D_j (18)

式中，ω_j为电力信息***的网络节点j在电力CPS中的权重；V_j表示电力信息通信网络节点集合；v_e表示调度中心节点；F_j、F_k分别表示节点j和节点k的节点重要性评价； a取0.8；A_j为节点j的局部聚集系数，D_j为节点j的度；C_j为与节点j逻辑联通的节点之间边的总数。

步骤S303中，威胁传播期望量化：

影响攻击选择的因素有多个，包括攻击者对***的了解程度、攻击者的个人喜好、攻击目标节点的脆弱性等。首先定义一个衰减因子f_s,e∈[0,1]，表示威胁从电力信息网络节点s传播到电力物理网络节点e的阻隔效果，f_s,e＝1表示节点s故障将导致节点e故障，f_s,e＝0则表示节点s到节点e的威胁传播将被完全阻隔，即节点s故障不会影响到节点ε，若信息通信网络节点s是对电力物理节点ε进行直接监控的控制单元节点，则f_s,e＝1；

为了方便计算，假定下一步攻击节点按照攻击难度和节点的重要性权重来选择，若节点i为已经被成功攻击且未被修复完成的热源节点，节点j为与节点i的邻居节点，节点i对节点j的威胁的数学期望：

E_i,j＝ω_j×p_i,j×λ_j×a_i (20)

式中，E_i,j表示热源节点i选择下一步攻击选择节点j的攻击效果的数学期望；P_i,j表示热源节点i下一步选择攻击节点j的概率；λ_j和λ_k分别表示节点j和节点k的攻击难度，若节点j为电力物理节点，则λ_j＝f_i,j；若节点j为信息节点，λ_j参考通用安全脆弱性***，同理求得λ_k；ω_j和ω_i分别表示节点j和节点i的权重；N_i表示与i节点在逻辑上连通的节点集合；a_i为节点受到攻击的程度。

传统威胁传播树存在对期望值计算中只考虑到整个传播树的出现概率，不考虑各个节点期望值；在计算中没有对复杂度和时效性进行折中；在计算不同威胁传播树时可能存在对用一威胁重复累加计算的情况不足等问题，本发明在考虑计算结果精确度、计算时效性的折中性、以及精确到每个节点受到威胁评估、避免重复计算威胁传播期望的基础上，给出一种基于改进威胁传播树的电力CPS态势评估算法。

将节点类型划分为3类：①活动节点(Active Node，AN)：当前时刻收到威胁，有可能成为下一个热源节点的节点；②死节点(Inactive Node，IN)：是热源节点或曾是热源节点的节点，且不会再被危险再次作用的节点；③可激活节点(Activatable Node，ATN)：网络中还未受到威胁的节点，在威胁传播树的构造过程中，应遵循以下规则：

1)一个节点成为热源节点后，以该热源节点进行威胁传播树的构造过程中威胁无法传播到该点；

2)活动节点只能向相邻节点传播威胁，当威胁传播成功后，该活动节点立即变为死节点，死节点不再被威胁作用；

3)当活动节点成为热源节点后，相邻的可激活节点成为活动节点；

4)一个节点不允许受到多个威胁同时作用，但允许一个节点同时向其相邻的可激活节点进行威胁传播，使可激活节点成为活动节点；

5)因为再威胁传播树算法中，运算的空间和时间复杂度都伴随着每一次递归的进行成指数级增长，所以需要对进行运算与否进行一次决策，决策算法使用代价函数C表示，“+”表示进行下一步的运算，“-”表示停止运算，C(+,-)表示应该进行下一步运算时，停止运算所付出的代价；同理C(-,+)表示应该停止运算，但又继续进行下一步运算所付出的代价，根据当前已经获得信息对继续运算所获得信息的价值进行初步估算，C(+,-) 为当前威胁传播树的威胁期望值，

式中，C(+,-)为放弃计算的代价；T_k一棵拥有k个节点的威胁传播树；

表示该威胁传播树所造成的威胁期望值；

式中，C(-,+)为继续下一步计算的代价的估计，在判断是否求解i个系欸点威胁传播树时形成的斜率s_q,i为：

式中，s_q,i越大表示同等计算复杂度下所得到的信息价值可能越大，s_q,i过小表示计算复杂度明显增加而所得到的信息价值可能依然很小，s_q,i可以直观的为是否继续计算决策提供直观的参考。

为进一步提高算法的时效性，通过确定最大计算复杂度O_max、可忽略复杂度O_min，从而得到决策函数：

式中，T_k表示一棵拥有k个节点的威胁传播树，

的取值范围为0≤d≤1，当

时表示在T_k基础上进一步求取k+1节点威胁传播树集合，否则停止计算；

6)网络中没有活动节点或者

时，威胁传播树构造完成。

威胁传播树生成算法流程图见附图5，输入为热源节点，输出为威胁传播树集。威胁传播树生成算法的决策函数能结合不同的运算环境进行时效性和精确度折中，根据运算环境合理控制威胁传播树生成的复杂度。

所有有效的热源节点所构成威胁的期望值即为最终的网络安全态势评估值。在进行态势计算之前需要对威胁传播树进行编码，生成对应的编码树。通过编码树进行威胁期望计算，可以避免对同一威胁的重复计算，提高态势评估的准确性。

由热源节点导致的威胁期望计算见附图6，输入为威胁传播树集T_S，输出为最终的态势估计结果S_A。

上述基于电力CPS的网络安全态势感知方法，在电力信息***日志信息基础上，采用时空关联、数据融合、态势感知等技术设计一个针对电力信息***安全态势感知***，可以从大量且存在噪声的安全设备数据中，通过日志的关联和融合等技术综合考虑多种安全要素，实现网络安全态势的理解，预测网络安全态势发展趋势，以尽可能地降低因攻击造成的损失。上述方法在对安全报警日志数据的预处理中可以利用时空特性进行关联分析，进一步归并冗余数据，提高了处理效率；一个威胁安全的行为常常会在不同的设备的日志中留下痕迹这些痕迹在时间和空间往往存在着关联，时间上和空间上往往是相同或相近，利用这一性质可以有效辨别一些错误的数据和澘在威胁。

Claims (10)

1.一种基于电力CPS的网络安全态势感知方法，其特征在于：包括如下步骤：

S1：报警数据预处理；

S2：报警数据融合，使用基于可信度的报警信息融合方法进行多源报警信息融合；

S3：基于威胁传播树的电力CPS安全风险评估：首先，通过告警信息的时空关联关系分析和攻击效果评估对报警信息的重要性进行评估，进而剔除错误报警信息，以提高报警信息的准确性；其次，在方法中分别针对电力***的物理***和信息***特点进行节点重要性评估，并考虑到电力***信息域与物理域以及跨域的威胁传播，以达到更加客观全面的使用威胁传播树对电力CPS网络安全态势评估；再次，使用改进威胁传播树进行态势评估。

2.如权利要求1所述的基于电力CPS的网络安全态势感知方法，其特征在于：步骤S1中，包含如下步骤：

S101：报警日志规范化；

S102：报警信息归并。

3.如权利要求2所述的基于电力CPS的网络安全态势感知方法，其特征在于：步骤S101中，规范化过程中针对常出现的字段，在规范化过程中选择提取安全要素：源IP地址、源端口、目标IP地址、目标端口、时间戳、异常类型和优先级，为方便后续对报警信息的时间进行分析计算，在数据规范化中将原始日志的时间信息转化为由1月1号0时开始所经过的秒数，在最后报警信息融合完成后再将时间信息恢复为用户直观的时间表示方式；

步骤S102中，在数据报警信息归并中，使用基于属性相异度的报警信息归并方法，分别对来自相同网络安全设备的报警信息进行归并，当两个报警信息相异度小于阈值时，进行对其归并操作；大于阈值，则将后来的报警信息成为新报警信息在对同一设备的报警信息进行归并后，统一将归并后的报警信息进行归并。

4.如权利要求3所述的基于电力CPS的网络安全态势感知方法，其特征在于：步骤S102中，归并过程中考虑时空关联，利用时空关联对冗余报警进行分析，在时间维度上表现为报警信息的报警时间，在空间维度上表现为IP地址，即通过时间、源IP地址、目的IP地址赋予不同的权重来进行相异度计算，相异度计算如下：

D_ij＝ω_t×d_t+ω_{src_ip}×d_{src_ip}+ω_{dst_ip}×d_{sdst_ip} (1)

d_t＝(t_i-t_j)/r (2)

式中D_ij代表报警信息i，报警信息j的相异度；ω_t为时间相异度的权重；ω_{src_ip}为源P地址相异度权重；ω_{dst_ip}为目的IP地址相异度权重ω_{dst_ip}；d_t为归一化后的时间差；t_i为报警信息i的时间；t_j为报警信息j的时间；r为可以进行归并的最大时间差，取r＝300；d_{src_ip}为归一化后源地址相异度，index_{src_diff}为两个源地址转换成二进制位之后的第一位不同的位置下标，同理可得d_{dst_ip}为归一化后源地址相异度，index_{dst_diff}为两个目的地址转换成二进制位之后的第一位不同的位置下标。

5.如权利要求1-4任意一项所述的基于电力CPS的网络安全态势感知方法，其特征在于：步骤S2，包含如下步骤：

S201：数据源可信度分析；

S202：多源数据报警信息融合。

6.如权利要求5所述的基于电力CPS的网络安全态势感知方法，其特征在于：步骤S201中，数据源可信度分析，使用灰色关联度分析计算各个数据源两两之间的支持度，以便于量化各个数据源在多个数据源中被支持的程度，以snort报警信息为例进行分析：

1)确定参考序列和比较数列：snort报警信息各个时刻的snort报警信息为参考序列x₁，假设共有n个时刻，共有m种报警数据源，其他m-1种报警数据源的报警信息序列x₂,x₃,...,x_m，将x₁与x₂,x₃,...,x_m逐个进行比较，计算关联度：

2)t时刻两个序列之间的差值为报警信息关联度，序列x_i与参考序列x₁的关联系数ξ_i0：

式中△(min)为序列x_i序列与序列x₀在各个时刻中的最小差值，同理△(max)为最大差值；ρ为分辨系数，取值范围为[0,1]；

3)序列x_i参考序列与参考序列x₀的灰色关联度r_0i：

r_0i值越接近1说明序列x_i序列与序列x₀的相关性越好；

两个数据源的关联度越髙，则说明该两个数据源相互的支持度越高，所以数据源之间的关联度作为支持度，即支持度S_ij＝r_ij得到支持度矩阵：

由于支持度矩阵为对称矩阵即S_ij＝r_ij，获取支持度矩阵总共需要进行m×(m-1)/2次报警信息序列的灰色关联度计算，通过支持度矩阵可得，其他数据源对数据源i的总支持度为：

一个网络攻击行为会在多个安全设备留下痕迹，可以认为：一个数据源的总支持度越髙，则该数据源信息的越准确即可信度越高；总支持度越低，则该数据源信息的越不准确即可信度越低；其他数据源对数据源ⅰ的总支持度越高，则数据源的可信度越高，将各个数据源的可信度归一化，数据源i的可信度为：

各个数据源的可信度之和为1。

7.如权利要求6所述的基于电力CPS的网络安全态势感知方法，其特征在于：步骤S202中，多源数据报警信息融合过程中，首先将状态划分为四种安全状态，即在一个时刻，有四种状态分别量化为0、1、2、3，由低到高分别标识四个威胁等级，0表示安全无异常，3表示威胁等级最高，数据源i的报警信息表达在t时刻的状态取值，表示为k(x_i(t))，将各个数据源的可信度作为该数据源权重，即ω_i＝C_i，根据权重进行加权平均，求各个时刻对应的威胁期望：

得到加权平均序列为：

x_MAE＝{x_MAE(t)|t＝1,2,...,n}＝(x_MAE(1),x_MAE(2),...,x_MAE(n)) (12)

釆用三角模糊数建立威胁期望x_MAE在0、1、2、3四个威胁等级上的隶属度分布模型，隶属度函数分别为：μ₀、μ₁、μ₂、μ₄，一个时刻的威胁值对于四个威胁等级的隶属度，为威胁等级定级分析提供基础，该模型确立了一个期望值对应各个威胁等级的可能性；

两个隶属度函数交集部分代表该部分取为复合类别，所以需要融合收殓；假设总共有m个数据源，则需将加权平均序列x_MAE使用Dempster组合规则进行m-1次融合，得出各个时刻报警的最终融合结果，在进行融合后，若某一威胁的等级k的隶属度大于阈值a，则将该时刻的威胁等级定为k，若四个威胁等级的隶属度均小于a，则将该时刻的威胁等级定为0级。

8.如权利要求1-4任意一项所述的基于电力CPS的网络安全态势感知方法，其特征在于：步骤S3，包含如下步骤：

S301：使用改进LOF算法综合报警信息可信度和造成的威胁对异常点的重要性进行评估；

S302：分别对电力CPS中电力物理网络和电力信息网络的重要性进行量化评估；

S303：使用改进威胁传播树进行态势评估。

9.如权利要求8所述的基于电力CPS的网络安全态势感知方法，其特征在于：步骤S301中，改进LOF算法在有效距离领域和可达距离的基础上求取离群因子，具体如下：

1)两点距离d(p,o)：两点p和o之间的距离；

2)有效距离(e-distance)：综合考虑时空因素，由时间差和拓扑距离组成；

3)有效距离领域N_e(p)：为与点p的距离小于或等于有效距离的所有点的集合；

4)可达距离(reach-distance(p,o)：点o到任意点p的可达距离定义为：

reach-distance(p,o)＝min{e-distance(o),d(p,o)} (13)；

5)局部可达密度：点p的局部可达密度表示为：

式中lrd_e(p)为N_e(p)所包含点的可达密度的倒数的平均值，Lrd_e(p)越大则点p是离群点的可能性越小，反之则点p是离群点的可能性越大；

6)局部离群因子：点p的局部离群因子表示为：

LOF_e(p)表示点p与N_e(P)所包含点的可达密度比的平均数值，LOF_e(p)越接近于1，则表示p点是离群点的可能性更低，LOF_e(p)<1，表示点p的密度高于N_e(P)包含点的平均密度，LOF_e(p)>1，表示点p的密度低于N_e(p)包含点平均密度；

步骤S302中，包括：

1)电力物理***的网络节点重要性评估：

采取***科学分析方法分析电力节点重要性，把对电力***所造成的级联故障的故障规模等价于该节点的重要性：

将电力物理***抽象为网络，其中负载、发电机和变电站为网络节点，输电线路为有向边，每条边对应一个效率值，对应实际传输过程中的损耗，效率矩阵D＝{d_i,j}，当i＝j时，d_i,j表示是电力***设备发电机和负载上当前的功率，发电机的d_i,j>0表示向外输出有功功率，负载的d_i,j<0表示消耗有功功率；当i≠j时，若d_i,j＝0表示节点与节点j之间不存在边；若0<d_i,j≤1，表示节点i到节点j之间边的效率值；

对于电力物理***的级联故障分析，通过使用基于复杂网络理论的电网级联故障分析方法来更新效率矩阵D，并对电力物理***进行级联故障仿真，电力物理***的网络节点的重要性权重为：

式中，ω_i表示电力物理***的网络节点i在整个电力CPS中所占权重；V_e表示电力物理***的网络节点集合；G_i、G_j为假设对节点i、节点j在级联故障模拟中单独对其进行移除操作后电力物理***中出现的故障节点个数；

2)电力信息***的网络节点重要性评估：

节点是网络的重要组成部分，节点与连接构成网络，节点的度和聚集系数可以较好的体现一个通信节点在通信网络中的重要性，所以可通过节点的度和聚集系数进行节点重要性评估，公式如下：

F_j＝(1-a)×A_j+a×D_j (18)

式中，ω_j为电力信息***的网络节点j在电力CPS中的权重；V_j表示电力信息通信网络节点集合；v_e表示调度中心节点；F_j、F_k分别表示节点j和节点k的节点重要性评价；a取0.8；A_j为节点j的局部聚集系数，D_j为节点j的度；C_j为与节点j逻辑联通的节点之间边的总数。

10.如权利要求9所述的基于电力CPS的网络安全态势感知方法，其特征在于：步骤S303中，将节点类型划分为3类：①活动节点(Active Node，AN)：当前时刻收到威胁，有可能成为下一个热源节点的节点；②死节点(Inactive Node，IN)：是热源节点或曾是热源节点的节点，且不会再被危险再次作用的节点；③可激活节点(Activatable Node，ATN)：网络中还未受到威胁的节点，在威胁传播树的构造过程中，应遵循以下规则：

1)一个节点成为热源节点后，以该热源节点进行威胁传播树的构造过程中威胁无法传播到该点；

2)活动节点只能向相邻节点传播威胁，当威胁传播成功后，该活动节点立即变为死节点，死节点不再被威胁作用；

3)当活动节点成为热源节点后，相邻的可激活节点成为活动节点；

4)一个节点不允许受到多个威胁同时作用，但允许一个节点同时向其相邻的可激活节点进行威胁传播，使可激活节点成为活动节点；

5)因为再威胁传播树算法中，运算的空间和时间复杂度都伴随着每一次递归的进行成指数级增长，所以需要对进行运算与否进行一次决策，决策算法使用代价函数C表示，“+”表示进行下一步的运算，“-”表示停止运算，C(+,-)表示应该进行下一步运算时，停止运算所付出的代价；同理C(-,+)表示应该停止运算，但又继续进行下一步运算所付出的代价，根据当前已经获得信息对继续运算所获得信息的价值进行初步估算，C(+,-)为当前威胁传播树的威胁期望值，

C(+,-)＝E_Tk (22)

式中，C(+,-)为放弃计算的代价；T_k一棵拥有k个节点的威胁传播树；E_Tk表示该威胁传播树所造成的威胁期望值；

式中，C(-,+)为继续下一步计算的代价的估计，在判断是否求解i个系欸点威胁传播树时形成的斜率s_q,i为：

式中，s_q,i越大表示同等计算复杂度下所得到的信息价值可能越大，s_q,i过小表示计算复杂度明显增加而所得到的信息价值可能依然很小，s_q,i可以直观的为是否继续计算决策提供直观的参考；

通过确定最大计算复杂度O_max、可忽略复杂度O_min，从而得到决策函数：

式中，T_k表示一棵拥有k个节点的威胁传播树，

的取值范围为0≤d≤1，当

时表示在T_k基础上进一步求取k+1节点威胁传播树集合，否则停止计算；

6)网络中没有活动节点或者

时，威胁传播树构造完成。

Images