[发明专利]一种基于cbr的车联网网络安全应急响应系统及方法

权利要求书

1.一种车联网网络安全应急响应方法，其特征在于，所述车联网网络安全应急响应方法包括：

通过SOEKS对安全事件进行知识表示，并模拟和建立案件库；

由最近邻检索方法通过引入结构相似度和属性相似度对案例进行检索；

通过对案例的修改以及学习完成完整的车联网网络安全响应。

2.如权利要求1所述的车联网网络安全应急响应方法，其特征在于，案例表示的方法包括：由SOEKS进行知识表示，为案例检索提供信息，SOEKS包括变量variable、约束constraint、函数function和规则rule；事件表示方法如下公式：

Set of Experience E_i＝(V_i,F_i,C_i,R_i)。

3.如权利要求1所述的车联网网络安全应急响应方法，其特征在于，案例检索的方法采用基于结构相似度和属性相似度的双层结构的案例整体相似度计算方法，具体包括：

首先对案例的结构相似度进行计算，具体计算方法如下公式：

上述公式中str_sim(x₀，y_j)代表当前案例x₀和历史案例y_j的结构相似度；W_P∩Q表示当前案例属性集P和历史案例属性集Q交集的权重之和；W_P∪Q表示当前案例属性集P和历史案例属性集Q并集的权重之和；表示P与Q交集的属性个数的和；表示P与Q并集的属性个数的和；计算出的结构相似度的区间是[0,1]，并且越接近1，当前案例和历史案例的相似度越高；

当缺失属性过多后，已失去进行应急响应的条件，对数据进行进一步的补充；缺失属性需设置阈值进行判断，缺失值用如下公式表示：

M代表属性总个数；V代表x₀缺失的属性个数；W代表权重和；当loss(x₀)小于阈值时，需要对该案件重新补充属性，对案件信息进行富化。

4.如权利要求3所述的车联网网络安全应急响应方法，其特征在于，属性相似度判定方法包括：

①符号类判定：

符号类由特殊标注直接进行判断，属性的各个值之间属于无关状态，最多存在包含的逻辑关系，符号属性的相似度由下公式确定：

②确定数类：

确定数类的距离公式如下：

max(i)和min(i)分别表示第i个属性的最大取值和最小取值；的值在[0,1]区间内，且越接近于1，则两个属性越相似；

③文本类判定：

所有文本类的属性由知识经验结构集E_i＝(V_i,F_i,C_i,R_i)进行表示，或由SOEKS中if-then结构做一些初步的判断和分类；C_i和R_i分别表示第i个属性的限制和规则，根据不同的属性，分别设置能使属性i距离能归一化的限制和规则。

5.如权利要求3所述的车联网网络安全应急响应方法，其特征在于，

在确定结构相似度和属性相似度后，具体的全局相似度则由结构相似度和属性相似度的积作为参考值，具体公式如下：

将str_sim(x₀，y_j)展开：

6.如权利要求1所述的车联网网络安全应急响应方法，其特征在于，

案例的修改包括：设置一个相似度阈值，使相似度高于该阈值的所有历史案件构成一个优选集合；相似度最高的一个历史案件作为当前应急方案，并对当前应急方案进行评价、调整与修正，生成最终的当前案例应急方案。

7.如权利要求1所述的车联网网络安全应急响应方法，其特征在于，案例的学习包括：将偶然事件存入案例库中，通过学习机制，对新案件进行筛选。