基于用戶偏好的權(quán)重搜索及告警選擇方法

李 莉,宋 嵩,李冰珂

(東北林業(yè)大學(xué) 信息與計算機(jī)工程學(xué)院,哈爾濱 150040)

0 概述

近年來，網(wǎng)絡(luò)安全事件頻發(fā)對各行業(yè)的信息基礎(chǔ)設(shè)施造成了許多負(fù)面影響。因此，從大量數(shù)據(jù)中辨識出網(wǎng)絡(luò)中的攻擊活動，并對攻擊行為意圖進(jìn)行理解和預(yù)測，從宏觀角度對整個網(wǎng)絡(luò)的安全狀況進(jìn)行把控并及時提出應(yīng)對舉措，成為網(wǎng)絡(luò)安全管理人員的首要任務(wù)。在此背景下，網(wǎng)絡(luò)態(tài)勢感知技術(shù)(Network Security Situation Awareness，NSSA)應(yīng)運而生[1]。

NSSA的主要作用是在動態(tài)網(wǎng)絡(luò)環(huán)境中，對網(wǎng)絡(luò)安全體系各部分的安全狀況和安全特征進(jìn)行綜合評估。在此過程中，對各類有效的安全數(shù)據(jù)和信息進(jìn)行組織[2-3]，以呈現(xiàn)出整體的安全狀態(tài)，從而提高網(wǎng)絡(luò)安全管理人員對整個安全體系的宏觀把控能力，為決策人提供有力支持[4]。NSSA是一種認(rèn)知過程[5]，可分為安全態(tài)勢覺察、安全態(tài)勢理解和安全態(tài)勢投射3個任務(wù)。安全態(tài)勢覺察包括數(shù)據(jù)預(yù)處理、關(guān)聯(lián)分析和結(jié)果呈現(xiàn)3個子任務(wù)，網(wǎng)絡(luò)安全態(tài)勢理解主要包括攻擊目的理解和攻擊行為預(yù)測的功能，而網(wǎng)絡(luò)安全態(tài)勢投射可分為投射準(zhǔn)備、風(fēng)險評估及態(tài)勢投射結(jié)果獲取，其中，風(fēng)險評估是安全態(tài)勢感知技術(shù)的核心。

經(jīng)過多年的發(fā)展，研究人員不斷將新理論引入安全態(tài)勢評估領(lǐng)域，并對傳統(tǒng)方法進(jìn)行改進(jìn)。在諸多理論中，網(wǎng)絡(luò)安全態(tài)勢評估方法按照其特性可分為統(tǒng)計分析法、基于知識推理的方法和灰度理論法。統(tǒng)計分析法被首先應(yīng)用于態(tài)勢評估領(lǐng)域，但在其數(shù)學(xué)模型中，核心的評價函數(shù)構(gòu)造和參數(shù)選擇需要該領(lǐng)域?qū)＜疫M(jìn)行詳細(xì)評估，因此，評估結(jié)果會受專家個人觀點和意見的影響?；谥R推理的方法面臨的挑戰(zhàn)在于難以獲取推理規(guī)則和先驗概率等知識?；叶壤碚摲ㄔ趹B(tài)勢評估上雖具有客觀性等特點，但其計算量巨大，無法在大型網(wǎng)絡(luò)環(huán)境下滿足用戶的需求。

針對上述問題，本文在網(wǎng)絡(luò)安全態(tài)勢評估中提出一種告警選擇方法。利用用戶偏好評估安全檢測系統(tǒng)中產(chǎn)生的告警，同時結(jié)合告警處理的時間成本進(jìn)行綜合分析，完成告警處理優(yōu)先級選擇，以提高用戶的滿意度。

1 相關(guān)工作

態(tài)勢感知[7]最早來源于軍事研究,并隨著網(wǎng)絡(luò)的興起而升級為網(wǎng)絡(luò)態(tài)勢感知(Cyberspace Situation Awareness,CSA)。本文所提及的網(wǎng)絡(luò)態(tài)勢均指網(wǎng)絡(luò)安全態(tài)勢。文獻(xiàn)[8]指出:基于融合的網(wǎng)絡(luò)態(tài)勢感知必將成為網(wǎng)絡(luò)管理的發(fā)展方向。網(wǎng)絡(luò)態(tài)勢感知的研究主要集中在網(wǎng)絡(luò)態(tài)勢預(yù)測與網(wǎng)絡(luò)態(tài)勢評估2個方面。

1)網(wǎng)絡(luò)態(tài)勢預(yù)測

網(wǎng)絡(luò)態(tài)勢預(yù)測的主要方法分為Markov模型[9]、時間序列分析以及博弈論等。Markov模型方法憑借計算狀態(tài)之間的轉(zhuǎn)移概率來推測最有可能發(fā)生的攻擊行為[10],該方法需要較長且連續(xù)的觀測序列才能保證預(yù)測的準(zhǔn)確性。時間序列分析方法通過動態(tài)數(shù)據(jù)處理找尋相鄰觀測值前后的關(guān)系[11],其成本較低但無法處理大量數(shù)據(jù)集。博弈論[12]憑借攻防模擬給出最佳加固方案,但當(dāng)網(wǎng)絡(luò)規(guī)模過大時,攻擊者的行為活動復(fù)雜度會變高,導(dǎo)致其運行負(fù)擔(dān)隨之增加。文獻(xiàn)[13]通過對攻擊者、管理員和用戶三方的行為進(jìn)行博弈分析,建立Markov博弈模型對系統(tǒng)安全態(tài)勢進(jìn)行分析,為管理員提供最佳加固方案。

2)網(wǎng)絡(luò)態(tài)勢評估

網(wǎng)絡(luò)態(tài)勢評估是指網(wǎng)絡(luò)管理人員根據(jù)已經(jīng)辨識的惡意行為和檢測系統(tǒng)發(fā)出的告警,通過建立函數(shù)或統(tǒng)計學(xué)模型評估其對數(shù)據(jù)信息或者其他網(wǎng)絡(luò)資源造成的威脅[14]。在網(wǎng)絡(luò)安全態(tài)勢評估方法中,基于知識推理的方法面臨計算規(guī)模的挑戰(zhàn),基于統(tǒng)計的方法不具備合理的量化標(biāo)準(zhǔn),其評估結(jié)果受專家個人的主觀影響,灰度理論具有十分精準(zhǔn)的短期預(yù)測能力。但是上述方法主要評估的是靜態(tài)損失,對于已產(chǎn)生的告警缺乏合理分析。

本文對檢測系統(tǒng)中的告警進(jìn)行基于用戶偏好及處理成本的評估,幫助用戶有效地確定告警處理的優(yōu)先級,以提高用戶對整體處理結(jié)果的滿意程度。

2 網(wǎng)絡(luò)安全態(tài)勢評估

2.1 基本概念及定義

2.1.1 權(quán)重搜索方法

評分函數(shù)是指定網(wǎng)絡(luò)安全評估指標(biāo)——偏好權(quán)重的最直接方式。由于線性評分函數(shù)可用于計算告警處理優(yōu)先級的排序結(jié)果[15],因此本文采用線性評分函數(shù)并設(shè)用戶偏好為權(quán)重向量ω=(ω[1],ω[2],…,ω[d])T,其中,權(quán)重ω[i]用于衡量用戶對屬性A[i]的偏好程度。本文設(shè)所有ω[i]均為數(shù)字值,同時將其歸一化至[0,1]。

在數(shù)據(jù)集D中有n個對象,每個對象包含d個屬性。pAi表示p在Ai上的值,其值越大表明用戶偏好程度更高。由評分函數(shù)f將對象的多個屬性值進(jìn)行聚合得到其評分值,再根據(jù)該值返回對象次序。

定義1定義p與q在評分函數(shù)f下有如下關(guān)系:

iffpAi>qAi,pAi?qAi

iffpAi≥qAi,pAiqAi

ifff(p)>f(q),p?fq

ifff(p)≥f(q),pfq

定義3線性評分函數(shù)fω(p)為加權(quán)求和函數(shù):

定義4對于正整數(shù)k和權(quán)重向量ω,排序查詢結(jié)果Ttopk(ω)表現(xiàn)為一個有序列表,可使Ttopk(ω)?D,|Ttopk(ω)|=k且?p:p∈Ttopk(ω),?q∈D-Ttopk(ω)均有p?fωq。?p,q∈Ttopk(ω),p?fωq在top-k結(jié)果中對象p均排在對象q的前面。

2.1.2 告警選擇預(yù)算

本文的目標(biāo)是選擇一個能使效用最大化的告警組H(H?A),同時成本(時間)不超過B。

(1)

目前沒有求解式(1)的效用函數(shù),因而其被稱為隱形效用函數(shù)[16-17]。文獻(xiàn)[18]引入distortion的概念來量化給定聚合規(guī)則實現(xiàn)這一目標(biāo)的程度。distortion是最佳告警組的效率與所給告警組效率之間最壞情況的比率,它度量了偏好中所含信息對實現(xiàn)告警效率最大化的有用程度。

2.2 安全態(tài)勢評估流程

安全態(tài)勢評估流程為:

2)采用均勻抽樣的方法從Γ中得到權(quán)重候選集合S={ω1,ω2,…,ωS},基于此使用評分函數(shù)得到所有候選對象在權(quán)重上的排序集合。

3)基于定義1,返回一組對象(p,q)用于學(xué)習(xí)用戶偏好,通過用戶在對象(p,q)上表現(xiàn)出不同偏好程度,對權(quán)重空間進(jìn)行約束。若用戶對p偏好程度較高,將(p-q)·ω>0加入用于約束權(quán)重空間的不等式組,否則,將(p-q)·ω<0加入不等式組。得到另一個權(quán)重空間Λ。

4)重復(fù)此學(xué)習(xí)過程,建立偏好集合。針對每個告警對于用戶偏好的效用建立效用函數(shù)vi(a),分別使用背包式方法和閾值設(shè)定方法結(jié)合處理成本對告警進(jìn)行選擇,并以distortion來度量處理告警效率的最大化程度。

3 基于用戶偏好的權(quán)重搜索算法

3.1 評估模型

(2)

設(shè)對象p1,p2,…,pk為在Cpi(權(quán)重集合)中任意權(quán)重下均能得到的top-k對象,即對?ωl∈Cpi滿足pj·ωl>pj+1·ωl,其中j=1,2,…,k-1。由此可得不等式組:

Q(R,T)的值越小則說明WT的質(zhì)量越高,同時得到的用戶的近似偏好權(quán)重的質(zhì)量也越高。

3.2 權(quán)重搜索算法

定義cp為凸多面體,Vcp={ω1,ω2,…,ωl}表示cp幾何意義上的所有凸點,Bcp代表cp的邊界,Icp代表cp的內(nèi)部權(quán)重的集合。設(shè)權(quán)重空間CP由凸多面體{cp1,cp2,…,cpm}組成,對象p、q在其內(nèi)部可構(gòu)造一個超平面H:(p-q)·ω=0,則H將CP分割成CP>和CP<2個部分。在此基礎(chǔ)上,根據(jù)用戶對對象p、q的偏好性,可將權(quán)重空間約束到CP的子集CP>或CP<上。經(jīng)過有限次循環(huán),最終只會有一個cpi被保留,可以理解為不存在任何一個超平面與其相交。因此,在該凸多面體cpi中,任何一個權(quán)重下的top-k結(jié)果都一致,都可以作為用戶偏好的近似解。

有一種特殊情況,若權(quán)重落在超平面H上,則說明對象p、q具有相同的評估值,為避免此種情況的不確定性,定義cpi的排序結(jié)果為偏序結(jié)構(gòu),即如果pVcpq,那么對?ω∈Icp均有p?ωq。

如圖1所示,當(dāng)維度d=2時,權(quán)重為ω[2]坐標(biāo)軸上0到1的線段。

圖1 維度為2的示例Fig.1 Example when dimension d=2

當(dāng)權(quán)重ω[2]=0,5個對象排序rA=5?1?3?4?2。當(dāng)權(quán)重ω[2]=1,5個對象排序rF=4?5?2?1?3?？紤]對象1和對象3在rA與rF中均有1?3,因此可知對象1在整個權(quán)重空間均優(yōu)于對象3。

如圖2所示,當(dāng)維度d=3時,經(jīng)過多次交互保留的權(quán)重空間僅為凸多面體區(qū)域K,其凸點有3個:{[3/4,0]T,[6/7,1/7]T,[1,0]T}。

圖2 維度為3的示例Fig.2 Example when dimension is 3

在其權(quán)重下5個對象的排序為:r[3/4,0]T=5?1?34?2、r[6/7,1/7]T=5?1?34?2、r[1,0]T=5?1?3?4?2。在所有凸點處,對象3的排序均表現(xiàn)優(yōu)于對象4,因此可將排序中的等于關(guān)系清除,即表現(xiàn)為排序一致,可將K中的任意權(quán)重作為用戶偏好近似值返回。

當(dāng)維度d≥3時,該問題則轉(zhuǎn)變?yōu)橥苟嗝骟w的凸點的枚舉問題,其中多面體cp通過以下不等式組定義:

本文采用文獻(xiàn)[19]提出的方法來解決該問題。

由于R(候選對象在權(quán)重空間凸點處的排序集合)中所有排序均為嚴(yán)格的偏序結(jié)構(gòu),對象p、q的評分值不存在完全相同的情況,因此以公式h(p,q)=(|Rp?q|-0.5|R|)2評價其候選對象的優(yōu)劣性。分析可知存在2種情況:

情況1若對象p和q使h(p,q)的值越小,則無論選擇哪個對象都可以很好地均分R,表現(xiàn)越優(yōu)的對象,與其對應(yīng)的評價值也越小。

情況2如果通過上述評價公式存在多個對象獲得相同評價值的情況,可形式化描述為給定凸點處的權(quán)重及其排序rω1和rω2。若對象p、q在排序中相對次序不一致,則存在超平面H:(p-q)·ω′=0使排序?qū)?yīng)的凸點位于其兩邊,假設(shè)存在m組不同的對象符合上述情況,可將rω1轉(zhuǎn)換為rω2。具體變換規(guī)則為:在rω1經(jīng)過超平面時,將該超平面對應(yīng)的對象在該排序中的次序交換,反之亦然。

下文對情況2做形式化描述。設(shè)對象p、q將R={rω1,rω2,…,rωm}分割成Rp?q與Rq?p2個部分且|Rp?q|≥|Rq?p|,定義:

其中,r為Rq?p中任意抽取的序列,r0為Rp?q中任意抽取的序列,λr(p)代表對象p在r中所處的位置,λr0(p)代表對象p在r0中所處的位置,dist(r0,r)代表序列r0與序列r之間相對次序不同的對象對的數(shù)量,eval(p,q)的值越小,則說明該對象對越優(yōu)。

4 基于偏好及成本的告警選擇方法

4.1 背包選擇法

上文已經(jīng)得到所有告警的用戶偏好權(quán)重,下文需要在成本約束下選擇能使告警處理效率最大化的一組告警。背包選擇法采用聚合規(guī)則將所有告警都視為被選中可直接進(jìn)行處理的對象,對所有告警的偏好權(quán)重進(jìn)行排序,貪婪執(zhí)行直到總成本(總時間)用盡。

4.2 隨機(jī)閾值法

由于采用固定閾值選擇效用函數(shù)會導(dǎo)致多種選擇方案且其distortion不理想,因此本文采用隨機(jī)閾值,高于閾值的效用所對應(yīng)的告警即被選擇優(yōu)先處理。

設(shè)定閾值t,被選擇的告警集合為其偏好效用高于t的告警組成,當(dāng)且僅當(dāng)Ti={a∈A:vi(a)≥t},Vi?Ti。

隨機(jī)閾值的設(shè)定是一個輸入格式的分配,每一個閾值的效用都有一個分配,為此本文構(gòu)建3種不同的機(jī)制,最終的選擇將在這3種機(jī)制之間隨機(jī)化。

機(jī)制1從集合T={(j,k):j,k∈[1,2 lnm]}中隨機(jī)選取一對(j,k),然后將閾值設(shè)定為lj,并使用生成的輸入曲線,貪婪地選擇Sk中偏好值最高的1/uk個告警。令Bj,k表示(j,k)的告警選擇集合。因為有j>0且k>0,在第一次轉(zhuǎn)換中,僅需考慮至少為lj的效用群體,在第二次轉(zhuǎn)換中,因為uj=2lj,|S*∩Sk|≤2|Bj,k|,所以Bj,k由貪婪選擇的告警組成且擁有最高的偏好值。因此,機(jī)制1實現(xiàn)的預(yù)期效率是:

第一次轉(zhuǎn)換為:

第二次轉(zhuǎn)換為:

機(jī)制3在A中隨機(jī)選擇一個告警,其實現(xiàn)的預(yù)期效率為n/m。

4.3 風(fēng)險指數(shù)

在實際應(yīng)用中,以用戶偏好作為告警處理優(yōu)先級選擇的唯一衡量標(biāo)準(zhǔn)略顯片面,因此,本文引入告警風(fēng)險指數(shù)的概念。風(fēng)險指數(shù)主要以受告警威脅資產(chǎn)的重要程度、告警涉及相關(guān)漏洞的危害性、告警涉及相關(guān)漏洞的可利用性以及告警在防護(hù)性角度描述的危害性4個評估因子作為依據(jù)。本文采用ISO/IEC 27001中的定義對受告警威脅資產(chǎn)的重要程度進(jìn)行量化,將其分級為可忽略、低、中、高、極高,分別對應(yīng)賦值1、2、3、4、5;以NESSUS漏洞分析作為標(biāo)準(zhǔn)對涉及漏洞危害性進(jìn)行量化,將其分級為低、中、高,分別對應(yīng)賦值1、3、5;以NESSUS漏洞分析為標(biāo)準(zhǔn)將涉及相關(guān)漏洞的可利用性劃分為難、中、易并分別賦值1、3、5;依據(jù)現(xiàn)有防護(hù)資料將告警的可防護(hù)性劃分為易、中、難并分別賦值1、3、5。由此,告警風(fēng)險指數(shù)可被描述為:

5 實驗與結(jié)果分析

5.1 用戶偏好的權(quán)重搜索策略

網(wǎng)絡(luò)安全告警的嚴(yán)重程度由其屬性字段上的評估值(實數(shù))來表示,該值區(qū)間通常為[0,1]。本文采用經(jīng)典的數(shù)據(jù)生成算法[20]來生成實驗數(shù)據(jù)。

通過經(jīng)典數(shù)據(jù)生成算法可以生成相關(guān)數(shù)據(jù)集、非相關(guān)數(shù)據(jù)集和均勻分布數(shù)據(jù)集3種數(shù)據(jù)集。均勻分布數(shù)據(jù)集中各個屬性字段值相互獨立且分布均勻,相關(guān)數(shù)據(jù)集中數(shù)據(jù)在不同維度上的優(yōu)劣性表現(xiàn)較為一致,算法對兩者進(jìn)行測試時,性能差異不大,但非相關(guān)數(shù)據(jù)集中數(shù)據(jù)在不同維度上的優(yōu)劣性通常差異很大。因此,本文主要采用非相關(guān)數(shù)據(jù)集和均勻分布數(shù)據(jù)集測試算法的性能。為測試算法效率,本文實驗分別生成大小為100、1 000、10 000以及100 000的數(shù)據(jù)集,數(shù)據(jù)維度分別為2、3、4和5,此數(shù)據(jù)規(guī)?；究梢愿采w所有網(wǎng)絡(luò)環(huán)境的告警測試用例。

本文算法的性能主要通過交互次數(shù)、等待時間和求解質(zhì)量進(jìn)行對比。其中,交互次數(shù)為算法得到最終用戶偏好所需要的交互總次數(shù),等待時間取算法進(jìn)行每次交互所需時間的平均值,求解質(zhì)量代表算法得到最終偏好值的近似程度。實驗對象為算法WSA-I和WSA-II,其中WSA-I算法適用于3.2節(jié)中的情況1,WSA-II算法同時適用于3.2節(jié)中2種情況。

結(jié)合實際應(yīng)用環(huán)境,本文實驗設(shè)參數(shù)k=10,并將偏好權(quán)重ω初始化為[1/d,1/d,…,1/d]。當(dāng)算法將對象(p,q)返回做交互時,ω對(p,q)進(jìn)行評分并將評分值較好的對象作為結(jié)果進(jìn)行反饋。本文在window7操作系統(tǒng)、Intel Core i3處理器、4 GB內(nèi)存的計算機(jī)中,通過JDK1.8編譯完成算法設(shè)計。

實驗1設(shè)置參數(shù)k=10,數(shù)據(jù)維度d=3,在不同數(shù)據(jù)規(guī)模下測試2個算法的等待時間及交互次數(shù),實驗結(jié)果如圖3～圖6所示。

圖3 不同數(shù)據(jù)規(guī)模下均勻數(shù)據(jù)集中算法的等待時間Fig.3 Waiting time of algorithms in uniform dataset indifferent data scales

圖4 不同數(shù)據(jù)規(guī)模下非相關(guān)數(shù)據(jù)集中算法的等待時間Fig.4 Waiting time of algorithms in uncorrelated dataset indifferent data scales

圖5 不同數(shù)據(jù)規(guī)模下均勻數(shù)據(jù)集中算法的交互次數(shù)Fig.5 Interaction times of algorithms in uniform dataset indifferent data scales

圖6 不同數(shù)據(jù)規(guī)模下非相關(guān)數(shù)據(jù)集中算法的交互次數(shù)Fig.6 Interaction times of algorithms in uncorrelated dataset indifferent data scales

從圖3和圖4可以看出,在相同數(shù)據(jù)維度的情況下,算法WSA-II比WSA-I耗費更多的時間,這是因為WSA-II算法需要同時顧及2種情況來選擇最優(yōu)對象對。

從圖5和圖6可以看出,在相同數(shù)據(jù)維度下,算法WSA-II比WSA-I需要更少的交互次數(shù)。由此可見,在選擇最優(yōu)對象對時情況2是存在且有影響的。

實驗2設(shè)置參數(shù)k=10,數(shù)據(jù)規(guī)模為1 000,在不同數(shù)據(jù)維度下測試2個算法的等待時間及交互次數(shù),實驗結(jié)果如圖7～圖10所示。

圖7 不同數(shù)據(jù)維度下均勻數(shù)據(jù)集中算法的等待時間Fig.7 Waiting time of algorithm in uniform dataset indifferent data dimensions

圖8 不同數(shù)據(jù)維度下非相關(guān)數(shù)據(jù)集中算法的等待時間Fig.8 Waiting time of algorithms in uncorrelated dataset indifferent data dimensions

圖9 不同數(shù)據(jù)維度下均勻數(shù)據(jù)集中算法的交互次數(shù)Fig.9 Interaction times of algorithms in uniform dataset indifferent data dimensions

圖10 不同數(shù)據(jù)維度下非相關(guān)數(shù)據(jù)集中算法的交互次數(shù)Fig.10 Interaction times of algorithms in uncorrelated dataset indifferent data dimensions

從圖7和圖8可以看出,在相同數(shù)據(jù)規(guī)模的情況下,算法WSA-II比WSA-I要耗費更多的時間,原因與實驗1相同。

從圖9和圖10可以看出,在相同數(shù)據(jù)規(guī)模下,算法WSA-II比WSA-I需要更少的交互次數(shù),原因與實驗1相同。

通過分析實驗1和實驗2的結(jié)果發(fā)現(xiàn),在不同數(shù)據(jù)規(guī)模和數(shù)據(jù)維度下,算法的運行時間和用戶的交互次數(shù)在非相關(guān)數(shù)據(jù)集和均勻分布數(shù)據(jù)集中的表現(xiàn)差別不大。

實驗3設(shè)置數(shù)據(jù)規(guī)模為1 000,假設(shè)用戶可接受的最高交互次數(shù)為10次,測試2個算法求解的質(zhì)量,實驗結(jié)果如圖11和圖12所示。

圖11 均勻數(shù)據(jù)集中算法的求解質(zhì)量Fig.11 Solution quality of algorithms in uniform dataset

圖12 非相關(guān)數(shù)據(jù)集中算法的求解質(zhì)量Fig.12 Solution quality of algorithms in uncorrelated dataset

從圖11和圖12可以看出,在均勻數(shù)據(jù)集和非相關(guān)數(shù)據(jù)集中,算法WSA-I經(jīng)過10次交互后得到的解的質(zhì)量均比算法WSA-II差。

5.2 基于背包式和設(shè)定閾值的告警選擇方法

圖13 4種方法的平均效率比例Fig.13 Average efficiency ratios of four methods

圖14 2種輸入格式的平均運行時間Fig.14 Average running times of two input formats

從圖13和圖14可以看出,在平均效率比例方面,對于確定的distortion最小化聚合規(guī)則通常優(yōu)于隨機(jī)化規(guī)則,但隨機(jī)化規(guī)則有較低的distortion,并且會將因效用函數(shù)信息缺失導(dǎo)致的效率損失控制在2%～3%,而背包式方法會導(dǎo)致較高的distortion,同時還需要較多的運行時間。

6 結(jié)束語

本文對用戶選擇優(yōu)先處理告警的偏好及處理告警所需的成本進(jìn)行綜合分析,提出基于用戶偏好的權(quán)重搜索及告警選擇方法。挖掘用戶潛在偏好值,在有限的成本(時間)內(nèi),通過對效用設(shè)定隨機(jī)閾值選擇需優(yōu)先處理的告警,圈定用戶認(rèn)為嚴(yán)重程度較高的待處理范圍,以此提高用戶的滿意度。實驗結(jié)果表明,該方法合理有效,能幫助用戶做出處理告警的較優(yōu)選擇。但在現(xiàn)實中,用戶可能對告警的選擇存在認(rèn)知困難,不能對告警做出正確的偏好選擇,或用戶可能傾向于不做出偏好選擇,讓系統(tǒng)自行選擇處理優(yōu)先級,并且不同性能的用戶端其告警處理時間會存在較大差異,因而難以確定成本范圍。下一步將通過用戶調(diào)查并根據(jù)其結(jié)果對告警進(jìn)行多用戶偏好設(shè)定,確定具體的告警處理優(yōu)先級選擇方案。