第5期 熊柳，等：SCADA安全因素神经元的云推理机研究与仿真 ·691. 3 基于云发生器的SCADA恶意程序 发生器[)。即当给定云的3个数字特征和特定的 x=x。时，产生满足条件的云滴dop(xo,山，)，X条件 行为因素推理机设计 云也称为前件云发生器：同理，当给定云的3个数字 在人工智能领域，对知识和推理的不确定性主 特征和特定的y=u:时，产生满足条件的云滴 要分为模糊性和随机性展开研究。作为处理模糊性 dop(x:,4,),Y条件云也称为后件云发生器。 问题的主要工具，模糊集理论用隶属度来刻画模糊 3.2云发生器的恶意程序行为因素推理机设计 食物的亦此亦彼性。然而，一旦用一个精确的隶属 3.2.1多条件多规则发生器 函数来描述模糊集，模糊概念被强行纳入到精确数 一条定性规则]可以形式化地表示为：if A then 学的王国，从此以后，在概念的定义、定理的叙述及 B,其中A、B为语言值表示的云对象[)。云发生器 证明等数学思维环节中，就不再有丝毫的模糊性了。 是运用云模型进行不确定性推理的基础。X条件云 由于传统模糊集理论的不彻底性)，该推理机没有采 和Y条件云可以组合构造成单条件单规则发生器， 用传统的隶属度算法，而是采用云模型理论。 在前件云发生器中输入值x。激活CGx(x条件云发 3.1 云模型简介 生器)时，CGx随机产生一个隶属度u,这个值反映 云模型是一个以自然语言值为切入点，实现定 了x。对此定性规则的激活强度，而山：又作为CG 性概念与定量值之间的不确定性转换的模型)：它 (y条件云发生器)的输入，随机地产生一个云滴 同时反映了客观世界中概念的两种不确定性，即随 dop(x,4:)。通过云模型构造的定性规则，使得这 机性（发生的概率）和模糊性（亦此亦彼性），尤其随 种推理系统对不确定性具有良好的继承性和传 机性是其不同于传统隶属函数的特性。下面给出云 递性。 模型的定义。 根据单条件单规则发生器的构造原理可以构造 设U是一个用精确数值表示的定量论域，C是 出多条件多规则发生器。以二维多规则生成器为 U上的定性概念，若定量值x∈U,且x是定性概念C 例，如图4所示。 的一次随机实现，x对C的确定度u(x)∈「0,1是 Ex,En,He 具有稳定倾向的随机数。若 Ex En He Drop.(x)Drop.(xy) u:U→[0,1]Hx∈Ux→u(x) Ex,En,He, PCG BCG 1i=12.…0 i=12, 则x在论域U上的分布称为云，每一个x称为一个 Ex En,He, 输 Ex EnHe Drop() 云滴。 Ex.En,,He PCG =12, BCG Drop (xy) CG 值 云模型主要有以下3个数字特征[)： ij=12. Ex En He 1)期望Ex,云滴在论域空间分布的期望是概念 Ex,En,He Drop (x) PCG BCG. Drop,(xy) Ex,En.He, 在论域空间的中心值，是最能够代表定性概念的点： i=12.… /=12,… 2)嫡E,它是定性概念不确定性的度量，是由 (X) 定性概念的随机性和模糊性共同决定的： 图4二维多规则生成器 3)超熵H,它是对嫡的不确定性的度量，是熵 Fig.4 Two dimensional multi rules generator 的熵，反映了在论域空间代表该语言值的所有点的 3.2.2云推理机规则的因素神经元表示 不确定度的凝聚性，它的大小间接地反映了它们之 前面在“SCADA系统恶意程序行为因素表示方 间的关联性。 法[]”中写出了关系模型的表达结构，其中XM表示 由参数Ex、En、He得到云滴drop(x,u)的过程 原子模式M在知识模式集合RM上的状态及状态 称为正向云发生器，如图3所示，这是从定性概念到 转换关系。以XM集合中的{Xdl:if在系统目录下 定量表示的转换过程：反之，则为逆向云发生器。 创建文件【o]and设置文件时间为系统文件时间 年 then非法创建文件}为例，“在系统目录下穿件文件 (CreatFile)”和“设置文件时间为系统文件时间 En 向 Drop(x,i） (SetFileTime)”为SCADA系统恶意程序行为)因 He 云 素集合[]中的两个因素，对应于云模型二维单规则 “if A and B then C”中的条件A和B,而“非法创建 图3正向云发生器 文件”则对应于规则结论C。这样就实现了将模糊 Fig.3 F-cloud generator 的定性概念转换为定量信息，便于推理机处理。 3.2.3云推理机算法结构与设计 由此可以衍生出X条件云发生器和Y条件云 根据多条件多规则发生器的原理，以二维规则３ 基于云发生器的 ＳＣＡＤＡ 恶意程序 行为因素推理机设计 在人工智能领域，对知识和推理的不确定性主 要分为模糊性和随机性展开研究。 作为处理模糊性 问题的主要工具，模糊集理论用隶属度来刻画模糊 食物的亦此亦彼性。 然而，一旦用一个精确的隶属 函数来描述模糊集，模糊概念被强行纳入到精确数 学的王国，从此以后，在概念的定义、定理的叙述及 证明等数学思维环节中，就不再有丝毫的模糊性了。 由于传统模糊集理论的不彻底性［７］ ，该推理机没有采 用传统的隶属度算法，而是采用云模型理论。 ３．１ 云模型简介 云模型是一个以自然语言值为切入点，实现定 性概念与定量值之间的不确定性转换的模型［７］ ；它 同时反映了客观世界中概念的两种不确定性，即随 机性（发生的概率）和模糊性（亦此亦彼性），尤其随 机性是其不同于传统隶属函数的特性。 下面给出云 模型的定义。 设 Ｕ 是一个用精确数值表示的定量论域，Ｃ 是 Ｕ 上的定性概念，若定量值 ｘ∈Ｕ，且 ｘ 是定性概念 Ｃ 的一次随机实现，ｘ 对 Ｃ 的确定度 ｕ（ ｘ）∈［０，１］是 具有稳定倾向的随机数。 若 ｕ：Ｕ → ［０，１］ ∀ｘ ∈ Ｕ ｘ → ｕ（ｘ） 则 ｘ 在论域 Ｕ 上的分布称为云，每一个 ｘ 称为一个 云滴。 云模型主要有以下 ３ 个数字特征［５］ ： １）期望 Ｅｘ，云滴在论域空间分布的期望是概念 在论域空间的中心值，是最能够代表定性概念的点； ２）熵 Ｅｎ，它是定性概念不确定性的度量，是由 定性概念的随机性和模糊性共同决定的； ３）超熵 Ｈｅ，它是对熵的不确定性的度量，是熵 的熵，反映了在论域空间代表该语言值的所有点的 不确定度的凝聚性，它的大小间接地反映了它们之 间的关联性。 由参数 Ｅｘ、Ｅｎ、Ｈｅ 得到云滴ｄｒｏｐ（ｘ，ｕ） 的过程 称为正向云发生器，如图 ３ 所示，这是从定性概念到 定量表示的转换过程；反之，则为逆向云发生器。 图 ３ 正向云发生器 Ｆｉｇ．３ Ｆ⁃ｃｌｏｕｄ ｇｅｎｅｒａｔｏｒ 由此可以衍生出 Ｘ 条件云发生器和 Ｙ 条件云 发生器［３］ 。 即当给定云的 ３ 个数字特征和特定的 ｘ ＝ ｘ０ 时，产生满足条件的云滴 ｄｒｏｐ（ ｘ０ ，ｕｉ），Ｘ 条件 云也称为前件云发生器；同理，当给定云的 ３ 个数字 特征和特定的 ｙ ＝ ｕｉ 时， 产 生 满 足 条 件 的 云 滴 ｄｒｏｐ（ｘｉ，ｕｉ），Ｙ 条件云也称为后件云发生器。 ３．２ 云发生器的恶意程序行为因素推理机设计 ３．２．１ 多条件多规则发生器 一条定性规则［８］可以形式化地表示为：ｉｆ Ａ ｔｈｅｎ Ｂ，其中 Ａ、Ｂ 为语言值表示的云对象［７］ 。 云发生器 是运用云模型进行不确定性推理的基础。 Ｘ 条件云 和 Ｙ 条件云可以组合构造成单条件单规则发生器， 在前件云发生器中输入值 ｘ０ 激活 ＣＧｘ（ ｘ 条件云发 生器）时，ＣＧｘ 随机产生一个隶属度 ｕｉ，这个值反映 了 ｘ０ 对此定性规则的激活强度，而 ｕｉ 又作为 ＣＧｙ （ｙ 条件云发生器） 的输入，随机地产生一个云滴 ｄｒｏｐ（ｘｉ，ｕｉ）。 通过云模型构造的定性规则，使得这 种推理系统对不确定性具有良好的继承性和传 递性。 根据单条件单规则发生器的构造原理可以构造 出多条件多规则发生器。 以二维多规则生成器为 例，如图 ４ 所示。 图 ４ 二维多规则生成器 Ｆｉｇ．４ Ｔｗｏ ｄｉｍｅｎｓｉｏｎａｌ ｍｕｌｔｉ ｒｕｌｅｓ ｇｅｎｅｒａｔｏｒ ３．２．２ 云推理机规则的因素神经元表示 前面在“ＳＣＡＤＡ 系统恶意程序行为因素表示方 法［９］ ”中写出了关系模型的表达结构，其中 ＸＭ 表示 原子模式 Ｍ 在知识模式集合 ＲＭ 上的状态及状态 转换关系。 以 ＸＭ 集合中的｛Ｘｉｄ１：ｉｆ 在系统目录下 创建文件［１０］ ａｎｄ 设置文件时间为系统文件时间 ｔｈｅｎ 非法创建文件｝为例，“在系统目录下穿件文件 （ＣｒｅａｔＦｉｌｅ）” 和 “ 设置文件时间为系统文件时间 （ＳｅｔＦｉｌｅＴｉｍｅ）”为 ＳＣＡＤＡ 系统恶意程序行为［１１］ 因 素集合［１２］中的两个因素，对应于云模型二维单规则 “ｉｆ Ａ ａｎｄ Ｂ ｔｈｅｎ Ｃ”中的条件 Ａ 和 Ｂ，而“非法创建 文件”则对应于规则结论 Ｃ。 这样就实现了将模糊 的定性概念转换为定量信息，便于推理机处理。 ３．２．３ 云推理机算法结构与设计 根据多条件多规则发生器的原理，以二维规则 第 ５ 期 熊柳，等：ＳＣＡＤＡ 安全因素神经元的云推理机研究与仿真 ·６９１·