盖伟麟，辛 丹，王 璐，刘 欣，胡建斌

(北京大学 a. 软件与微电子学院；b. 信息科学技术学院，北京 100871)

态势感知中的数据融合和决策方法综述

盖伟麟a，辛 丹a，王 璐b，刘 欣a，胡建斌b

(北京大学 a. 软件与微电子学院；b. 信息科学技术学院，北京 100871)

在赛博空间态势感知的相关研究中，处理不确定、不精确的多源异构信息是态势认识过程中需要解决的一个重要问题。为正确处理这些信息，提高对态势的认识，使得到的态势更具有正确性、时效性和全局性，研究数据融合方式和决策方式等现存的处理技术并进行综述。数据融合包含贝叶斯网络、D-S证据理论、粗糙集理论、神经网络、隐马尔科夫模型及马尔科夫博弈论等方式，决策方式涵盖认知心理学、逻辑学、风险管理等。研究结果表明，目前的技术焦点呈现多样性，但在态势生成应用及验证方面仍有较大的改进空间。

赛博空间；态势感知；多源异构；数据融合；决策

1 概述

赛博空间(cyberspace)一词是由美国科幻小说作家William Gibson创造的，指在计算机以及计算机网络里的虚拟现实，后来概念被普及和延伸，例如用来表示实时的网络空间等。态势感知的概念源于航天飞机的人因研究，此后在空中交通监管、医疗应急调度以及网络安全监控等领域被广泛地应用[1]。

Endsley于1985年提出了态势感知的定义，指出态势感知是在特定的时间和空间下，对环境中各元素或对象的觉察、理解以及对未来状态的预测。过去赛博空间的攻击方式具有单维性，主要形式是单一地拒绝服务(Denial of Service, DoS)攻击、计算机病毒或者蠕虫、未授权的入侵，这些攻击主要针对网站、邮件服务器、客户机等。如今赛博空间的攻击经历多元化发生了根本性改变，导致利用多种攻击工具和技术的多阶段、多维性攻击出现。赛博空间的防御者必须处理多维攻击产生的大量不确定、不完整的多源异构信息，从而正确理解并认识当前态势。

不确定信息的挑战存在于赛博态势感知的所有阶段，包括前期的安全风险管理、实时的入侵检测、后期的取证分析。在过去的十余年中，研究者们提出了多种数据融合模型、决策模型，用于处理不确定、不完整、不精确的多源异构信息。其中在决策模型中，很多研究者考虑到人作为决策过程的因素，融入了认知心理学相关研究。本文综述态势感知研究领域的融合及决策方式，并给出了相应的评述及比较分析。

2 数据融合方式综述

数据融合技术最早应用于军事，近年来数据融合在非军事领域也被广泛应用。本节以大规模赛博空间态势感知为背景，讨论的一般是多源异构数据的采集与分析，即多源数据融合。

数据融合研究的关键是融合模型和算法。模型勾勒出逻辑的框架，目前存在的数据融合模型往往很大程度上依赖于应用领域，不存在通用的数据融合模型，其中最具有影响力的是如图1所示的联合指导实验室(Joint Directors of Laboratories, JDL)数据融合模型[2-3]，其中，态势感知作为较高层次的Level 2融合，向上从Level 1融合接收网络监测数据，作为态势感知的信息来源；向下为Level 3融合提供态势信息，用于威胁分析和决策支持。

图1 数据融合模型

下面将综述当前研究人员正在研究或者已经取得显著成果的用于赛博空间态势感知的数据融合方式及算法，并给出相应的评述及发展趋势。

2.1 基于贝叶斯网络的态势感知

贝叶斯网络是基于概率分析和图论的一种不确定性知识的表示和推理模型，表现为一个赋值的复杂因果关系网络图，关于贝叶斯网络的深入了解与学习可以参考书籍[4]。

目前很多研究人员已经把贝叶斯网络应用到态势感知领域来处理不确定性信息。

文献[5]提出态势认识的本质是通过因果推理进行态势理解和诊断推理以实现态势预测，该文献通过构建态势认识的贝叶斯网络模型找出了态势和时间之间的因果关系，根据贝叶斯网络信息传播算法，以态势和事件节点的置信度为参数综合应用贝叶斯网络进行了因果推理和诊断推理，分别实现了态势理解与态势预测过程。文献给出了基本的信息传播算法、态势认识系统的实现及运用该算法的实例应用，体现了很好的数据学习能力及推理能力(但算法在有2个子节点的情况下没有给出诊断推理方法，同时应用文中的信息传播算法也无法推算出实例中的结果数据，缺乏一定的合理性与精确性)。

一些文章基于贝叶斯网络研究了博弈融合的态势分析，文献[6]将博弈论思想和信息融合理论相结合，提出了一种以博弈思想为指导的博弈融合机制，同时最后也指出了贝叶斯网络在信息融合中应用的局限性：首先原因和结果常常会相互作用，贝叶斯网络是一个有向无环图，无法满足有环的因果网络图，其次贝叶斯网络没有考虑原因节点影响结果节点的滞后时间，从而只适用于静态分析，有必要引入动态贝叶斯网络进行研究。

2.2 基于D-S证据理论的态势感知

D-S(Dempster-Shafer)理论允许各传感器提供各自所能提供的信息来进行目标检测、分类及识别。算法核心是用概率分配值来定义一个不确定区间，并用不确定区间来表示一个命题的支持度和似然度。关于D-S理论的深入了解与学习，参考文献[7]中的第5章。

很多研究者已把D-S证据理论应用在网络异常检测、态势评估等研究中。

文献[8]指出目前网络异常检测方法存在的很多不足，例如漏报率与误报率都比较高，没有融合多个特征进行综合评判，检测算法不能够满足大量数据及高速网络的检测要求，从而提出基于D-S证据理论的网络异常检测方法，同时引入了自适应机制。研究者给出了系统架构，并指出在方法的实现过程中，只需选取从应用层以下各层协议头部中的域值通过简单计算即可获得特征。最后使用DARPA 1999年IDS基准评测数据进行了实验，得出的实验结果表明，该算法在较低误报率的基础上达到了理想的检测率。

文献[9]提出了基于D-S证据理论的态势评估方法，并给出自己的网络安全态势评估模型，模型中将态势评估分为3层：特征层，解释层，评估层。特征层收集不同类型的原始信息。解释层的数据来源于特征层，并与攻击数据库中的数据进行匹配，然后用D-S证据理论算法融合匹配的数据，判断当前网络态势。评估层基于获得的信息，综合计算来预测潜在威胁，并生成当前态势的映射图。最后在实例中给出一张随时间变化的态势图，但只给出一个整体态势值，其并不会指导管理员该如何采取防护措施，这需要具体模块化的态势值，当然整体态势也不仅仅是模块化态势值的加权运算。

2.3 基于粗糙集理论的态势感知

粗糙集理论(Rough Set Theory, RST)作为一种数据分析处理理论，在1982年由波兰科学家Pawlak创立，该理论在分类意义下定义了模糊性和不确定性的概念，是一种处理不确定、不相容数据和不精确问题的新型数学工具，其主要思想就是在分类能力不变的前提下，通过知识约简，导出问题的决策和分类规则。关于粗糙集理论的深入了解与学习可以参考文献[10]。

1995年ACM将粗糙集理论列为新兴的计算机科学的研究课题，用在态势感知领域粗糙集理论研究刚刚起步，所以目前文献大多数局限在算法的基础应用，主要研究方向为态势感知与评估。

国内已有研究者将粗糙集理论应用到网络态势感知[11]，该方法把网络攻击行为作为网络安全要素，定量分析了各安全要素或安全要素组合对网络安全的威胁程度，最终建立了具有攻击行为、网络服务和安全态势3个层次的网络安全态势感知模型，并通过仿真实验生成了明确的网络安全态势图。文献[11]在于仿真实验中采用了多源异构数据，对各数据进行量化处理最终形成态势图，实验逻辑性强且具有说服力。

更多研究者将粗糙集理论用在态势评估中进行研究。文献[12]将贝叶斯网络与粗糙集理论相结合进行战争域的态势评估，主要模式是应用贝叶斯网络及专家经验从不确定环境中获得主观态势评估，客观的态势评估应用粗糙集理论获得，合成2种算法的评估数据，最终掌握整个战争域的实时态势。文献[13]基于多属性决策的态势评估提出一个基于粗糙集理论的模型，改进了区分函数(Discernibility Function, DF)和基于决策属性的精简算法，因此产生了更高的评估效率。

2.4 基于神经网络的态势感知

人工神经网(Artificial Neural Networks, ANN)也简称为神经网络或称作连接模型，它是一种模仿动物神经网络行为特征，进行分布式并行信息处理的算法数学模型。这种网络依靠系统的复杂程度，通过调整内部大量节点之间相互连接的关系，从而达到处理信息的目的。关于神经网络的深入了解与学习可以参考文献[14]。

神经网络在态势感知中的应用比较集中在态势预测研究中。

网络安全态势值具有非线性时间序列的特点，借助神经网络处理混沌、非线性数据的优势，研究者提出了一种基于径向基函数(Radical Basis Function, RBF)神经网络进行态势预测的方法[15]，该方法通过训练RBF神经网络找出态势值得前N个数据和随后M个数据的非线性映射关系，进而利用该关系进行态势值预测。为了提高RBF神经网络的预测精度，文献[16]利用混合的递阶遗传算法(Hierarchical Genetic Al gorithm, HGA)的全局搜索能力来更好地优化RBF神经网络的结构和参数，然后使用训练好的RBF网络构建一个预测模型来预测未来网络安全态势。文献[17]中基于小波神经网络(Wavelet Ne ural Netw ork, WN N)给出了网络安全态势感知的定量预测方法。

研究者在文献[18]中基于Endsley的态势感知三阶段给出了自己的网络安全态势感知模型，此模型具有3层结构，分别为数据、信息、知识。研究者采用Snort和NetFlow作为传感器来收集实时的网络流数据，然后采用多层前馈神经网络进行信息的融合，给出了简洁有效的特征精简方法，减少了输入向量并改进了融合机制的实时性。另外为了给出被监控网络的实时安全态势，研究者还提供了一个态势生成机制。

2.5 基于HMM和马尔科夫博弈论的态势感知

隐马尔科夫模型(Hidden Markov Models, HMM)是对马尔科夫模型的一种扩充，可以描述为由一个不可观测的、隐含的随机过程支持的可观测的随机过程。关于马尔科夫模型及隐马尔科夫模型的深入了解与学习可以参考文献[19]。马尔科夫博弈论(Markov Game Theory, MGT)概念由决策者、状态空间、行动空间、转换规则、支付函数和决策等相关定义描述[20]，它是一种随机的、动态的博弈论，能够抓住网络冲突的性质，很好地处理可用的不完整、不确定信息集。

有研究者将HMM用在态势的趋势识别即态势预测的相关研究中[21]，指出现存研究框架仅依赖于一种或者一类传感器的不足，给出了自己的系统框架，通过分析不同传感器获得的信息，预测入侵者的意图，文献给出了模拟实例并完成入侵意图识别，但文献中在描述采用HMM进行趋势识别时并没有说明过程仅依赖现在而不依赖过去的马尔科夫性的适用性，同时实例只是针对自己的模型进行特定的参数配置，缺乏一定的通用性及推广能力，所以还具有一定的局限性，还需更多的工作继续深一步的研究。

文献[20]提出马尔科夫博弈论能够捕获网络冲突的特性：防御方的策略决策跟攻击方的策略决策相耦合对应。研究者首先基于JDL模型给出自己的用于赛博态势感知的框架，其中主要包括2个模块：数据融合模块和动态自适应特征识别模块，后者能够产生原始识别数据并学习新发现的或未知的赛博攻击。其次考虑到中立者可能为了最小化自己的损失而采取行动偏向攻击方或者防御方，在博弈论应用中创新性地引入中立方。研究者介于三方参与的博弈及攻击方和防御方又不是完全对立的，采用了非零和博弈。另外在博弈论的决策方面采用混合纳什平衡(Nash Equilibrium, NE)决策，其中每个参与者只需考虑平均支付函数。

2.6 数据融合方式评述及发展趋势

数据融合方式在态势感知中处理多源异构数据的应用研究比较成熟，算法各具优越性，贝叶斯网络具有神经网络和图论的优点，它使用概率论来处理不确定性，提供了一种将知识直觉地图解可视化的方法；D-S证据理论支持描述不同等级的精确度和直接引入对未知不确定性的描述；粗糙集理论具有能从海量数据中发现有用规律并将其转化为逻辑规则的优势；安全态势值具有非线性时间序列的特点，而神经网络具有处理非线性数据的优势；赛博空间入侵者具有相对确定的意图，采用意向图进行意图识别形成一种新颖的研究方式，将隐马尔科夫用于意图识别能够从多传感器融合数据，得到正确的识别与认知；将博弈论应用于赛博空间防御研究，马尔科夫博弈论模型采用分布式结构，能够有效为赛博空间的不确定因素进行建模，并能很好地抓住网络冲突的性质。

目前数据融合方式中的研究呈现实验数据量小、实验数据针对性强、算法缺乏高效性等缺点，并且虽然从多维度融合给出赛博空间当前态势值，但缺乏具体模块化的态势值，模块化态势值对于决策者做决策更有意义。

在多源异构信息的处理中，目前已有很多研究者将多种融合方式结合起来进行研究，例如贝叶斯网络与攻击图的结合、贝叶斯网络与粗糙集理论的结合，这种算法结合研究是一种将来的研究趋势。对于单一融合方式的研究，从时间复杂度及空间复杂度的优化性出发进行算法的创新性改进，也是一种研究趋势。

3 决策方式综述

决策一词的意思就是为了到达一定目标，采用一定的科学方法和手段，从2个以上的方案中选择一个满意方案的分析判断过程。态势感知中数据融合的最终目标是让操作者了解当前赛博空间的状况从而掌握全局态势，做出相应决策。很多文献从如何做决策的角度出发，针对态势感知中多源异构信息的处理方式进行相关研究，并有研究者考虑到决策过程中个人因素的影响，将心理学的认知过程纳入决策研究。

3.1 基于认知心理学的态势感知决策方式

认知，指通过心理活动获取知识。在态势感知中的认知应用研究主要是基于认知心理学信息加工论，信息加工论主要涉及信息的获得、存储、加工、提取和应用。研究者分别将认知应用到了人作为高效率、实时决策者的研究中和赛博空间的决策框架研究中。

Endsley早期从人的认知角度对态势感知进行了相关研究，文献[22]指出随着动态、复杂系统的出现，操作者的态势感知在系统的决策和性能中成为关键部分，态势感知过程跟操作者对于当前环境的知识状态有关，它主要由操作者对相关元素的感知、操作者对目标有关的元素的理解和基于这些理解对环境未来状态的预测结合而成。研究者给出了一个考虑人的态势感知的决策模型，并指出真正的态势感知不仅是大量数据的融合，还需要基于操作者目标相关的更高水平的态势理解及系统将来状态的预测。文献还考虑了任务和系统因素，它们也会影响个人态势获取能力，并就这些因素对系统设计等展开研究。此研究的创新性在于将人的因素纳入对空间态势获取的研究，基于信息加工论提出了人的态势感知概念并给出了模型。

3.2 基于逻辑学的态势感知决策方式

在安全分析中，计算机攻击条件的逻辑关系显得日益重要[23]，研究者在脆弱性分析中通过对这种关系的建模也生成多种解决方案[24-25]，他们在建模中都采用了某些确定逻辑：一个攻击的前置条件成立，则后置条件成立。文献[23]指出，上述确定逻辑并没有考虑到赛博安全分析的不确定性。

介于确定逻辑的局限性，研究者提出了一种基于经验的逻辑方法进行决策研究[23]。文献根据人的基于经验的思维方式设计逻辑规则，并将此逻辑模型分为2个部分：观察推理用来将观察结果映射到内部条件，内部模型用来分析内部条件的逻辑关系。相对于以前的融合和决策方法直接应用现存的模型进行研究，此文献直接从底层基础开始设计一个接近人类推理的逻辑模型，此模型的另一个优点是相对于结论成立的条件是以逻辑证明的形式给出的，这使得在达成这个结论过程中什么条件被应用或什么条件被假设更加清楚。

3.3 基于风险管理的态势感知决策方式

赛博空间态势感知不确定性研究的另一个重要方面是系统中存在的静态不确定性或者固有风险。固有风险的分析和管理在安全投入的决策中显得尤其重要。文献[23]指出随着目前网络应用的扩大，相关应用中的漏洞经常被发现，且被用来进行阶段性赛博攻击，但并不存在一种客观的方法来评估网络的安全性，通过增加安全投入可以减少与安全相关的风险，在这方面的权衡分析需要一个量化的安全模型。

通用漏洞评分系统(Common Vulnerability Scoring System, C VSS)[26]是一个行业公开标准，被设计用来评测漏洞的严重程度，并帮助确定所需反应的紧急度和重要度。文献[23]提出CVSS只提供了单个漏洞的分数，并不能提供一个合理的方法为网络中一系列漏洞提供一种集成的度量方式，以便得到网络安全的整体分数。研究者基于上述问题提出将CVSS与攻击图相结合，攻击图可以被用来进行漏洞间的因果关系建模，很多文献中也研究了基于攻击图的CVSS度量。研究者结合攻击图进行CVSS度量相关研究，能够比较好地利用多源异构数据形成系统当前漏洞状态整体度量值，为赛博空间态势感知中处理静态不确定性数据进而正确理解当前态势的研究提供了方向或理论依据。

3.4 决策方式评述及发展趋势

决策方式的研究彰显了交叉学科研究的创新性及优越性，从认知心理学出发能够将操作者的决策及分析能力作为因素纳入多源异构信息的处理框架研究中；基于经验的逻辑方法的提出能够从底层处理观察到的多源异构数据，并将逻辑预处理结果映射到内部进行内部关系分析，便于跟踪入侵者意图；针对静态不确定性数据的处理，将通用漏洞评分系统与攻击图相结合，能够利用攻击图的因果关系建模，形成系统当前整体度量值。

决策方式的研究是从做决策的角度出发，为多源异构数据处理提供决策框架及框架所需的设计因素，并不会向数据融合方式提供一个最终的定量的态势度量值。

赛博空间态势感知中引入交叉学科的研究，能够让研究者从一个全新的角度寻求新颖的多源异构数据处理方式及优化方式，例如很多与生物免疫学的交叉研究，这是一种比较新的研究趋势。

4 结束语

针对目前赛博空间态势感知研究中对多源异构信息的处理方式，本文从数据融合与决策方法2个角度综述了当前研究比较前沿的解决方案，即5种数据融合算法以及3种决策方法，给出融合算法及决策方法的优缺点并指出今后的发展趋势，可以作为该领域后续研究的理论基础参考。后续研究将会致力于提出更高效、优化的适用于多源异构数据处理的融合算法，着重考虑融合算法的结合研究及算法的普适性。在决策方法的研究中，将致力于认知心理学及逻辑学的研究，提出更全面的态势感知决策框架，让态势分析者实时、准确地掌握当前态势，并做出相关决策及未来趋势预测。

[1] 王慧强, 赖积保, 朱 亮, 等. 网络态势感知系统研究综述[J]. 计算机科学, 2006, 33(10): 5-10.

[2] Hall D L, Llinas J. An I ntroduction to Multisensor Data Fusion[J]. Proceedings of the IEEE, 1997, 85(1): 6-23.

[3] Salerno J. Information Fusion: A High-le vel Architecture Overview[C]//Proc. of the 5th In ternational Conf erence on Information Fusion. Annapolis, USA: IEEE Press, 2002: 680-686.

[4] 张连文, 郭海鹏. 贝叶斯网引论[M]. 北京: 科学出版社, 2006.

[5] 罗 文, 李敏勇, 张晓锐. 基于贝叶斯网络的态势认识[J].火力与指挥控制, 2010, 35(3): 89-92.

[6] 周志强, 张晓燕. 基于贝叶斯网络的博弈融合态势评估方法[J]. 计算机与数字工程, 2008, 36(10): 17-19.

[7] 戴亚平, 刘 征, 郁光辉. 多传感器数据融合理论及应用[M]. 北京: 北京理工大学出版社, 2004.

[8] 诸葛建伟, 王大为, 陈 昱, 等. 基于D-S证据理论的网络异常检测方法[J]. 软件学报, 2006, 17(3): 463-471.

[9] Qu Zhaoyang, Li Yaying, Li Pen g. A Network Sec urity Situation Evaluation Method Based on D-S Evidence Theory[C]//Proc. of ESIAT’10. Wuhan, China: [s. n.], 2010: 496-499.

[10] 苗夺谦, 李道国. 粗糙集理论, 算法与应用[M]. 北京:清华大学出版社, 2008.

[11] 梁 颖, 王慧强, 赖积保. 一种基于粗糙集理论的网络安全态势感知方法[J]. 计算机科学, 2007, 34(8): 95-97.

[12] Meng Guanglei, Gong Guanghong. Algorithm of Battlefield Situation Assessment Based on Bayesian Network and Rough Set Theory[C]//Proc. of the 7th I nternational Conference on System Simulation and Scientific C omputing. Beijing, China: [s. n.], 2008: 776-779.

[13] Wang Xiaofan, Wang Baoshu. Methods for Situation Assessment of Multi-at tribute D ecision Making B ased on R ough Sets[C]//Proc. of the 6th International Conference on Fuzz y Systems and Knowledge Discove ry. Tianjin, China: [s. n.], 2009: 325-328.

[14] 韩力群. 人工神经网络教程[M]. 北京: 北京邮电大学出版社, 2006.

[15] 任 伟, 蒋兴浩, 孙锬锋. 基于RBF神经网络的网络安全态势预测方法[J]. 计算机工程与应用, 20 06, 4 2(31): 136-138.

[16] 孟 锦, 马 驰, 何加浪, 等. 基于HHGA-RBF神经网络的网络安全态势预测模型[J]. 计算机科学, 2 011, 38(7): 70-72.

[17] Lai Jibao, Wang Huiqiang, Liu Xiaowu, et al. A Quantitative Prediction Method of Net work S ecurity Situation Based o n Wavelet N eural N etwork[C]//Proc. of the 1st International Symposium on Data, Privacy, a nd E-commerce. Cheng du, China: [s. n.], 2007: 197-202.

[18] Wang Hui qiang, Liu Xiao wu, Lai Jibao, et al. Net work Security Situation Awareness Based on Heterogeneous Multi-sensor Data Fusion and Neural Network[C]//Proc. of the 2nd Internation al Multi-symposiums on Computer and Computational S ciences. Io wa, USA: IEE E Press, 2007: 352-359.

[19] Rabiner L R. A T utorial o n Hidden Mark ov M odels and Selected Applications in Speech Recognition[J]. Proceedings of the IEEE, 1989, 77(2): 257-286.

[20] Shen Dan, Chen Genshe, Cruz J B, et al. A Markov Game Theoretic D ata Fusion A pproach for Cyber Situational Awareness[C]//Proc. of IEEE Military C ommunications Conference. Orlando, USA: [s. n.], 2007: 1-7.

[21] Zhang Qiang, Man Dapeng, Yang Wu. Using HMM for Intent Recognition in Cyber Security Situation Awareness[C]//Proc. of the 2nd International Symposium on Knowledge Acquisition and Modeling. W uhan, China: [s. n.], 2009: 166-169.

[22] Endsley M R. Toward a T heory of Situation A wareness i n Dynamic Systems[J]. Human Fa ctors: The Journ al of the Human Factors and Ergonomics Society, 1995, 37(1): 32-64.

[23] Jajodia S, Liu P, Swarup V, et al. Cyber Situational Awareness: Issues and Research[M]. [S. l.]: Springer, 2010.

[24] Ammann P, Wijesekera D, Kaushik S. Scalabl e, Graph-based Network V ulnerability A nalysis[C]//Proc. of the 9th ACM Conference on Computer and Communications Security. New York, USA: ACM Press, 2002: 217-224.

[25] Cheung S, Lindqvist U, Fong M W. Modeling Multistep Cyber Attacks for Scenario Reco gnition[C]//Proc. of DARP A Information Survivability Conference and Exposition. Washington D. C., USA: IEEE Press, 2003: 284-292.

[26] Mell P, Scarfone K, Romanosky S. A Complete Guide to the Common Vulnerability Scoring System Version 2.0[M]. [S. l.]: FIRST.org, Inc., 2007.

编辑 任吉慧

Review of Date Fusion and Decision-making Methods in Situation Awareness

GAI Wei-lina, XIN Dana, WANG Lub, LIU Xina, HU Jian-binb

(a. School of Software and Microelectronics; b. School of Electronics Engineering and Computer Science, Peking University, Beijing 100871, China)

In the research of cyberspace situation aw areness, how to deal with uncertain, inaccurate multi-source heterogeneous

information is an important problem which needs to be solved in the process of situational understanding. In order to accurately handle with the information, improve the a wareness of the situation, make the situation more accu racy, timeliness and overall, the paper reviews the existing technology focus, mainly including data fusion methods and decision-making methods. Data fusion methods mainly includes Bayesian network, D-S evidence theory, rough set theory, neural network, hidden Markov model and Markov game theory methods, and decision-making mainly includes cognitive psychology, logic and risk management methods. Research results show that current technology focuses present diversity, but still has great space for improvement in both the situation generation application and verification.

cyberspace; situation awareness; multi-source heterogeneous; data fusion; decision-making

10.3969/j.issn.1000-3428.2014.05.005

盖伟麟(1987－)，男，硕士研究生，主研方向：网络与信息安全，态势感知；辛 丹、王 璐，硕士研究生；刘 欣，讲师、博士；胡建斌，副教授、博士。

2013-03-05

2013-05-08E-mail：gaiweilin54070225@163.com

1000-3428(2014)05-0021-05

A

TP311.13