CN114581694A - 一种基于改进的支持向量机的网络安全态势评估方法 - Google Patents
一种基于改进的支持向量机的网络安全态势评估方法 Download PDFInfo
- Publication number
- CN114581694A CN114581694A CN202210480083.3A CN202210480083A CN114581694A CN 114581694 A CN114581694 A CN 114581694A CN 202210480083 A CN202210480083 A CN 202210480083A CN 114581694 A CN114581694 A CN 114581694A
- Authority
- CN
- China
- Prior art keywords
- situation
- sample
- clustering
- twsvm
- network security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 47
- 238000012706 support-vector machine Methods 0.000 title claims abstract description 30
- 239000013598 vector Substances 0.000 claims abstract description 47
- 238000005457 optimization Methods 0.000 claims abstract description 30
- 241000251468 Actinopterygii Species 0.000 claims description 50
- 238000012549 training Methods 0.000 claims description 48
- 238000013145 classification model Methods 0.000 claims description 35
- 238000004422 calculation algorithm Methods 0.000 claims description 27
- 235000013305 food Nutrition 0.000 claims description 25
- 230000006399 behavior Effects 0.000 claims description 22
- 230000008569 process Effects 0.000 claims description 10
- 238000012545 processing Methods 0.000 claims description 8
- 238000010276 construction Methods 0.000 claims description 7
- 238000010606 normalization Methods 0.000 claims description 7
- 238000012360 testing method Methods 0.000 claims description 6
- 230000019637 foraging behavior Effects 0.000 claims description 5
- 239000011159 matrix material Substances 0.000 claims description 3
- 230000000007 visual effect Effects 0.000 claims description 3
- 241001229889 Metis Species 0.000 claims description 2
- 230000009191 jumping Effects 0.000 claims description 2
- 238000012163 sequencing technique Methods 0.000 claims description 2
- 238000011156 evaluation Methods 0.000 abstract description 9
- 230000006870 function Effects 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 9
- 230000009471 action Effects 0.000 description 4
- 238000007637 random forest analysis Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 238000013210 evaluation model Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000007794 visualization technique Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001364 causal effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 239000004459 forage Substances 0.000 description 1
- 230000002431 foraging effect Effects 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
- G06F18/232—Non-hierarchical techniques
- G06F18/2321—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
- G06F18/23213—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/004—Artificial life, i.e. computing arrangements simulating life
- G06N3/006—Artificial life, i.e. computing arrangements simulating life based on simulated virtual individual or collective life forms, e.g. social simulations or particle swarm optimisation [PSO]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- General Physics & Mathematics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Biomedical Technology (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Probability & Statistics with Applications (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种基于改进的支持向量机的网络安全态势评估方法,网络安全态势评估是将当前网络的态势要素进行提取,根据这些态势要素对当前网络进行综合评估并划分态势等级。首先构建网络安全态势指标体系,根据指标体系中的二级指标提取态势要素组成特征向量,然后采用基于AFSA优化的TWSVM多模型对其进行分类评估,获取当前网络的态势等级,本发明能够有效的提高分类速度和网络安全态势评估的准确率。
Description
技术领域
本发明采用一种基于支持向量机改进的孪生支持向量机模型,对网络安全态势进行评估。提出一种基于人工鱼群算法优化的多分类孪生支持向量机的态势评估模型,对网络安全态势进行评估。主要解决当今已有的网络安全态势评估模型分类准确率低的问题,属于网络安全领域。
背景技术
随着网络规模以及复杂性的不断增大,网络的攻击技术也不断变化,例如恶意程序攻击、木马、分布式拒绝服务攻击(DDos)、蠕虫、病毒、Web代码注入、僵尸网络等新型的网络攻击工具大量的涌现。面对愈加复杂的攻击手段,传统的网络安全技术显得愈发力不从心,网络入侵无法避免,网络安全问题也愈发严重。尽管存在单独的安全组件来保护计算机网络免受以上每一种的攻击,例如:防火墙、IDS、病毒检测、修补漏洞等,但是这些组件只能去针对解决特定的攻击。因此,检测普遍存在的或者是企业范围中存在的网络攻击具有更大的挑战性(C.Onwubiko, “Security Framework for Attack Detection in ComputerNetwork”, VDM Verlag Publisher, ISBN: 978-3-639-08934-9, 2008)。更为重要是,现在的安全组件的部署方式使检测各种网络攻击,对网络攻击进行分类、评估企业网络中的安全情况以及迅速并准确的量化相关风险都变得极为困难。
面对新的网络安全形势,网络安全态势感知(Network Security SituationAwareness,NSSA)技术应用而生。过去,网络安全管理员大多依靠相关经验以及安全工具来感知和分析当前的网络状态,然而,网络安全管理员能够具备的知识量是有限的,各种安全工具也有一些短板。如今,随着计算机技术的不断发展,硬件设备的不断升级,计算机的计算能力有着质的飞跃,这些都为网络安全态势感知技术奠定了基础。网络态势感知技术通过采集网络空间中各个设备的网络安全数据,并对这些数据进行理解分析,从而实现对当前的网络状况进行评估,使网络安全管理员能够更全面的了解当前网络安全状态。
如今,随着数据量的增加以及数据元素之间的复杂性的提高,传统的数据融合技术已无法再继续为网络分析人员提供信息,国外越来越多的研究放在了网络安全态势感知评估这个方向上。2014年,Kotenko and E. Doynikova等在"Security Evaluation forCyber Situational Awareness," 2014 IEEE Intl Conf on High PerformanceComputing and Communications, 2014 IEEE 6th Intl Symp on Cyberspace Safetyand Security, 2014 IEEE 11th Intl Conf on Embedded Software and Syst (HPCC,CSS,ICESS), Paris, 2014, pp. 1197-1204中指出应采用基于不同安全度量的分类法及其技术来使用安全指标进行网络态势感知,提出了基于攻击者意图和服务依赖性的网络安全态势评估方法。I. Kotenko and E. Novikova,等在"Visualization of SecurityMetrics for Cyber Situation Awareness," 2014 Ninth International Conferenceon Availability, Reliability and Security, Fribourg, 2014, pp. 506-513中提出将可视化技术应用至网络安全态势评估中,通过可视化技术显示一组安全指标用于评估当前的网络状态并评估当前网络保护机制的效率。2015年, F. Skopik, M. Wurzenberger,G. Settanni and R. Fiedler等在"Establishing national cyber situationalawareness through incident information clustering," 2015 InternationalConference on Cyber Situational Awareness, Data Analytics and Assessment(CyberSA), London, 2015, pp. 1-8中,将由重要的事件指标组成的模型,并提出了一种高效地对事件数据进行聚类的算法,实现了大型网络空间进行态势感知评估。在国内,陈秀真等在层次化网络安全威胁态势量化评估方法[J].软件学报,2006(04):885-897中设计了一种层次化的网络安全态势评估方法。根据计算机网络的特点结合相关的网络服务,提出了自下而上,从局部到整体的态势量化评估模型。该模型能够较好的评估整体网络的态势值,为网络安全态势的预测奠定了基础。董建峰等在"The Building of Network SecuritySituation Evaluation and Prediction Model Based on Grey Theory," 2010International Conference on Challenges in Environmental Science and ComputerEngineering, Wuhan, 2010, pp. 401-404指出根据被攻击服务的危险等级,使用简单累加权重模型实现对当前网络的安全态势评估。王昆等在"Network security situationevaluation method based on attack intention recognition," 2015 4thInternational Conference on Computer Science and Network Technology (ICCSNT),Harbin, 2015, pp. 919-924提出一种基于攻击意图识别的网络安全态势评估方法,实现对攻击事件进行因果分析,以识别攻击意图和攻击阶段,然后根据攻击阶段进行态势评估。沈永军等在"The model of network security situation assessment based on randomforest," 2016 7th IEEE International Conference on Software Engineering andService Science (ICSESS), Beijing, 2016, pp. 977-980中采用不同于基于专家经验判断网络安全态势的方法,使用基于决策树构成多个分类器组合的思想,提出一种基于随机森林(Random Forest, RF)的网络安全态势评估模型。
发明内容
发明目的:为了克服现有技术中存在的不足,本发明提供一种基于改进的支持向量机的网络安全态势评估方法,典型的支持向量机(Support Vector Machine, SVM)模型存在分类速率以及分类速度上都存在一定的缺陷,因此可采用分类性能更高的孪生支持向量机(Twin Support Vector Machine, TWSVM)。针对TWSVM的参数难以调节的问题,引入改进的人工鱼群算法(Artificial Fish Swarm Algorithm, AFSA)进行优化,搜寻最优的参数。由于对网络安全态势进行分类是一个多分类问题,而TWSVM只能处理二分类问题,引入一种基于聚类算法优化的二叉树多分类模型,将该多分类模型与基于AFSA优化的TWSVM模型相结合构建分类器,用于对当前网络的态势进行分类。
技术方案:为实现上述目的,本发明采用的技术方案为:
一种基于改进的支持向量机的网络安全态势评估方法,包括以下步骤:
步骤1),训练阶段:获取过去时间段的网络安全态势要素,并计算出相应的态势
值,按照网络安全态势等级对照表划分态势等级,完成训练集的构建;对训练数据集采用聚类算法进行聚类,通过计算每个样本对象的密度,根据每个样本对象的密度得
到初始聚类中心,进而得到聚类中心,选取聚类中心对应的样本标记为+1类,其余样本标记
为-1类,作为输入样本;通过输入样本训练基于AFSA优化的TWSVM多分类模型,如果基于
AFSA优化的TWSVM多分类模型的分类数大于聚类算法的聚类数,则采用
聚类算法进行重新聚类;如果基于AFSA优化的TWSVM多分类模型的分类数小于等于聚类算法的聚类数,则完成对基于AFSA优化的TWSVM多分类模型的训练,得到训练
好的基于AFSA优化的TWSVM多分类模型;
步骤2,测试阶段:对待评估的网络安全态势数据集,使用训练好的基于AFSA优化的TWSVM多分类模型进行评估。
优选的:步骤1)中完成训练集的构建的方法包括以下步骤:
步骤1.1),对网络空间中设备数据以及网络数据进行采集;
步骤1.2) ,根据网络安全态势指标体系中的二级指标从采集的设备数据以及网络数据中提取态势要素作为样本特征向量,并做归一化处理,得到样本以及归一化的样本特征向量;
步骤1.3),通过步骤1.2)得到了样本以及归一化的样本特征向量,根据每个归一化的样本特征向量评估当前样本的态势值,并根据网络安全态势等级对照表划分对应的态势等级作为样本的label值;将每个样本的特征向量以及对应的label值作为训练数据集写入到文本文件中;网络安全态势等级对照表包括态势等级和态势值范围,态势等级包括安全、轻度危险、一般危险、中度危险、高度危险,态势等级为“安全”的态势值范围为0.00~0.20,态势等级为“轻度危险”的态势值范围为0.21~0.40,态势等级为“一般危险”的态势值范围为0.41~0.60,态势等级为“中度危险”的态势值范围为0.61~0.80,态势等级为“高度危险”的态势值范围为0.81~1.00;
步骤1.4),将训练数据集中每个归一化的样本特征向量作为输入向量,并将样本中态势等级“安全”标记为1,态势等级“轻度危险”标记为2,态势等级“一般危险”标记为3,态势等级“中度危险”标记为4,态势等级“高度危险”标记为5。
步骤1.10),对训练数据集采用聚类算法进行聚类,首先计算每个样本对
象的密度,给定一个常数,计算一个样本对象到其他样本对象距离,选取最小的个样本
距离之和,并计算其平均数,当值越小时,表示该样本对象的密度越高;
步骤1.11),选取对应密度值最小的样本作为第一个初始聚类中心,计算其它
样本到初始聚类中心加权距离最大的样本点作为下一个样本初始聚类中心;首先,计
算数据集中每个特征维度的加权系数,然后计算加权距离值;
步骤1.13) ,分别计算每个聚类中心到其它聚类中心的距离之和,并将得到的值
进行排序,将和为最大值所属的类别放至第一位并将其聚类中心记为,此时剩余4个类
别,再计算下一个聚类中心到剩余聚类中心的距离之和,排序后取最大值并记为,以此类
推,直到所有获取5个重新排序的聚类中心后结束,其顺序记为;
优选的:步骤1中通过输入样本训练基于AFSA优化的TWSVM多分类模型的方法,包括以下步骤:
步骤1.23), 计算初始鱼群的食物浓度,将策略作为决策函数,并以TWSVM的
分类准确率作为优化的目标函数,即为鱼群的食物浓度,计算每条人工鱼所在位置的食物
浓度,并保存当前最优的食物浓度值对应的人工鱼参数组合;
步骤1.24) ,执行人工鱼行为操作,每条人工鱼开始执行觅食行为、聚群行为和追
尾行为, 计算下一步移动地点,并以食物浓度值最大化行为作为准则,选择食物浓度
值最大的行为执行,如果行为缺失,则执行随机行为;
步骤1.23) ,更新最优食物浓度值,当鱼群中所有人工鱼都执行完以此行为后,开
始计算当前鱼群中最大的食物浓度值,与已保存的最大食物浓度值进行比较,则将替换为,即,并保存对用的人工鱼参数组合,否则保持不变;
步骤1.26) ,完成模型的训练,并保存所有模型参数。
优选的:步骤2中使用训练好的基于AFSA优化的TWSVM多分类模型进行评估的方法,包括以下步骤:
步骤2.1) ,数据集中的所有数据进行归一化处理,并将每个样本的特征向量作为输入向量放入训练好的基于AFSA优化的TWSVM多分类模型中;
步骤2.2) ,得到的数值,安照1对应态势等级“安全”,2对应态势等级“轻度危险”,3对应态势等级“一般危险”,4对应态势等级“中度危险”,5对应态势等级“高度危险”的规则评估出当前网络安全态势等级;
步骤2.3) ,对数据中每一个样本都进行评估,完成测试过程。
优选的:步骤1.1) 以20min为一个时间段采集网络空间中网络数据。
优选的:步骤1.3)中每个归一化的样本特征向量采用人工经验方法评估当前样本的态势值。
优选的:步骤1.2) 归一化处理公式如下:
本发明相比现有技术,具有以下有益效果:
本发明通过将孪生支持向量机模型以及基于聚类算法优化的二叉树多分类模型相结合,有效的提高了模型的效率以及减少了在处理多分类问题时存在的累积误差。通过本方法的使用能够有效的提高网络安全态势评估的准确率。
附图说明
图1为网络安全态势指标体系。
图2为基于二叉树的网络安全态势感知多分类模型拓扑结构示意图。
图3为成训练集的构建示意图。
图4为基于AFSA优化的TWSVM多分类模型的训练流程图。
具体实施方式
下面结合附图和具体实施例,进一步阐明本发明,应理解这些实例仅用于说明本发明而不用于限制本发明的范围,在阅读了本发明之后,本领域技术人员对本发明的各种等价形式的修改均落于本申请所附权利要求所限定的范围。
一种基于改进的支持向量机的网络安全态势评估方法, 网络安全态势评估是将当前网络的态势要素进行提取,根据这些态势要素对当前网络进行综合评估并划分态势等级。首先构建网络安全态势指标体系,如图1、2所示。根据指标体系中的二级指标提取态势要素组成特征向量,然后采用基于AFSA优化的TWSVM多模型对其进行分类评估,获取当前网络的态势等级,采用Python为开发工具,其中详细的步骤如下:
一、训练阶段:获取过去时间段的网络安全态势要素,采用人工经验的方法计算出相应的态势值,按照网络安全态势等级对照表划分态势等级。完成训练集的构建,并训练基于AFSA优化的TWSVM多分类模型。
a) 训练数据集构建阶段,如图3所示:
步骤1) 对网络空间中设备的数据以及网络数据进行采集,以20min为一个时间段统计相关数据。
步骤2) 根据网络安全态势指标体系中的二级指标从采集的数据中提取态势要素作为样本的特征向量,并做归一化处理,公式如下。
步骤3) 通过步骤2)得到了样本以及每个样本的特征向量,根据每个样本的特征向量采用人工经验方法评估当前样本的态势值,并根据网络安全态势等级对照表(表1)划分对应的态势等级作为样本的label。将每个样本的特征向量以及对应的label值作为训练数据集写入到文本文件中。如表1所示,网络安全态势等级对照表包括态势等级和态势值范围,态势等级包括安全、轻度危险、一般危险、中度危险、高度危险,态势等级为“安全”的态势值范围为0.00~0.20,态势等级为“轻度危险”的态势值范围为0.21~0.40,态势等级为“一般危险”的态势值范围为0.41~0.60,态势等级为“中度危险”的态势值范围为0.61~0.80,态势等级为“高度危险”的态势值范围为0.81~1.00。
表1 网络安全态势等级对照表
b) 基于AFSA优化的TWSVM多分类模型训练阶段:
步骤4) 将训练数据集中每个样本的特征向量作为输入向量,并将样本中态势等级“安全”标记为1,态势等级“轻度危险”标记为2,态势等级“一般危险”标记为3,态势等级“中度危险”标记为4,态势等级“高度危险”标记为5。
步骤5) 对训练数据集采用聚类算法进行分析,首先按照以下策略计算
每个样本对象的密度。即设定一个常数,计算一个样本对象到其他样本对象距离,选取最
小的个样本距离之和,并计算其平均数。当值越小时,表示该样本对象的密度越高。
步骤6) 选取对应值最小的样本作为第一个初始聚类中心,按照以下策略计算
其它样本到初始聚类中心加权距离最大的样本点作为下一个样本初始聚类中心。加权
距离计算的基本思路是:首先,计算数据集中每个特征维度的加权系数。然后计算加权距
离值。
如图4所示,步骤8) 分别计算每个聚类中心到其它聚类中心的距离之和,并将得
到的值进行排序,将和为最大值所属的类别放至第一位并将其聚类中心记为,此时剩余4
个类别,重复前面的步骤,计算每个聚类中心到剩余聚类中心的距离之和,排序后取最大值
并记为,以此类推,直到所有获取5个重新排序的聚类中心后结束,其顺序记为。设定。
步骤13) 计算初始鱼群的食物浓度。将策略作为决策函数,并以TWSVM的分类
准确率作为优化的目标函数,即为鱼群的食物浓度。计算每条人工鱼所在位置的食物浓
度,并保存当前最优的食物浓度值对应的人工鱼参数组合。
步骤14) 执行人工鱼行为操作。每条人工鱼开始执行觅食行为、聚群行为和追尾
行为,根据以下策略 计算下一步移动地点,并以食物浓度值最大化行为作为准则,选
择食物浓度值最大的行为执行,如果行为缺失,则执行随机行为。
步骤13) 更新最优食物浓度值。当鱼群中所有人工鱼都执行完以此行为后,开始
计算当前鱼群中最大的食物浓度值,与已保存的最大食物浓度值进行比较,
则将替换为,即,并保存对用的人工鱼参数组合。否则保持不变。
步骤16) 完成模型的训练,并保存所有模型参数。
二、测试阶段:对待评估的网络安全态势数据集,使用训练好的基于AFSA优化的TWSVM多分类模型进行评估。
步骤1) 数据集中的所有数据进行归一化处理,并将每个样本的特征向量作为输入向量放入训练好的模型中。
步骤2) 得到的数值,安照1对应态势等级“安全”,2对应态势等级“轻度危险”,3对应态势等级“一般危险”,4对应态势等级“中度危险”,5对应态势等级“高度危险”的规则评估出当前网络安全态势等级。
步骤3) 对数据中每一个样本都进行评估,完成测试过程。
本发明利用了支持向量机的改进模型孪生支持向量机,将模型分类的速度以及准确率进行了提高。对于孪生支持向量机中存在模型参数难以调节的问题,采用人工鱼群算法对模型参数自动寻优,并优化寻优过程中视野参数以及步长参数,使其能够自适应调节,提高寻优速度。形成基于改进的人工鱼群算法优化的孪生支持向量机分类模型。
由于网络安全态势评估评估模型是一个多分类模型,可采用二叉树多分类模型与基于改进的人工鱼群算法优化的孪生支持向量机分类模型相结合。针对二叉树模型存在的累积误差问题,即对于分类前期发生错误的样本,该错误会在后期延续。采用聚类算法对其进行优化,确定二叉树节点所处类别的分离顺序。
利用基于改进的支持向量机的网络安全态势感知评估模型,能够有效的提高网络安全态势评估的准确率。
以上所述仅是本发明的优选实施方式,应当指出:对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种基于改进的支持向量机的网络安全态势评估方法,其特征在于,包括以下步骤:
步骤1),训练阶段:获取过去时间段的网络安全态势要素,并计算出相应的态势值,按
照网络安全态势等级对照表划分态势等级,完成训练集的构建;对训练数据集采用聚类算法进行聚类,通过计算每个样本对象的密度,根据每个样本对象的密度得
到初始聚类中心,进而得到聚类中心,选取聚类中心对应的样本标记为+1类,其余样本标记
为-1类,作为输入样本;通过输入样本训练基于AFSA优化的TWSVM多分类模型,如果基于
AFSA优化的TWSVM多分类模型的分类数大于聚类算法的聚类数,则采用
聚类算法进行重新聚类;如果基于AFSA优化的TWSVM多分类模型的分类数小于等于聚类算法的聚类数,则完成对基于AFSA优化的TWSVM多分类模型的训练,得到训练
好的基于AFSA优化的TWSVM多分类模型;
步骤2,测试阶段:对待评估的网络安全态势数据集,使用训练好的基于AFSA优化的TWSVM多分类模型进行评估。
2.根据权利要求1所述基于改进的支持向量机的网络安全态势评估方法,其特征在于,步骤1)中完成训练集的构建的方法包括以下步骤:
步骤1.1),对网络空间中设备数据以及网络数据进行采集;
步骤1.2) ,根据网络安全态势指标体系中的二级指标从采集的设备数据以及网络数据中提取态势要素作为样本特征向量,并做归一化处理,得到样本以及归一化的样本特征向量;
步骤1.3),通过步骤1.2)得到了样本以及归一化的样本特征向量,根据每个归一化的样本特征向量评估当前样本的态势值,并根据网络安全态势等级对照表划分对应的态势等级作为样本的label值;将每个样本的特征向量以及对应的label值作为训练数据集写入到文本文件中;网络安全态势等级对照表包括态势等级和态势值范围,态势等级包括安全、轻度危险、一般危险、中度危险、高度危险,态势等级为“安全”的态势值范围为0.00~0.20,态势等级为“轻度危险”的态势值范围为0.21~0.40,态势等级为“一般危险”的态势值范围为0.41~0.60,态势等级为“中度危险”的态势值范围为0.61~0.80,态势等级为“高度危险”的态势值范围为0.81~1.00;
步骤1.4),将训练数据集中每个归一化的样本特征向量作为输入向量,并将样本中态势等级“安全”标记为1,态势等级“轻度危险”标记为2,态势等级“一般危险”标记为3,态势等级“中度危险”标记为4,态势等级“高度危险”标记为5。
步骤1.10),对训练数据集采用聚类算法进行聚类,首先计算每个样本对象的
密度,给定一个常数,计算一个样本对象到其他样本对象距离,选取最小的个样本距离
之和,并计算其平均数,当值越小时,表示该样本对象的密度越高;
步骤1.11),选取对应密度值最小的样本作为第一个初始聚类中心,计算其它样本到
初始聚类中心加权距离最大的样本点作为下一个样本初始聚类中心;首先,计算数据
集中每个特征维度的加权系数,然后计算加权距离值;
步骤1.13) ,分别计算每个聚类中心到其它聚类中心的距离之和,并将得到的值进行
排序,将和为最大值所属的类别放至第一位并将其聚类中心记为,此时剩余4个类别,再
计算下一个聚类中心到剩余聚类中心的距离之和,排序后取最大值并记为,以此类推,直
到所有获取5个重新排序的聚类中心后结束,其顺序记为;
4.根据权利要求3所述基于改进的支持向量机的网络安全态势评估方法,其特征在于,步骤1中通过输入样本训练基于AFSA优化的TWSVM多分类模型的方法,包括以下步骤:
步骤1.23), 计算初始鱼群的食物浓度,将策略作为决策函数,并以TWSVM的分类准
确率作为优化的目标函数,即为鱼群的食物浓度,计算每条人工鱼所在位置的食物浓度,
并保存当前最优的食物浓度值对应的人工鱼参数组合;
步骤1.24) ,执行人工鱼行为操作,每条人工鱼开始执行觅食行为、聚群行为和追尾行
为, 计算下一步移动地点,并以食物浓度值最大化行为作为准则,选择食物浓度值最
大的行为执行,如果行为缺失,则执行随机行为;
步骤1.23) ,更新最优食物浓度值,当鱼群中所有人工鱼都执行完以此行为后,开始计
算当前鱼群中最大的食物浓度值,与已保存的最大食物浓度值进行比较,则
将替换为,即,并保存对用的人工鱼参数组合,否则保持不变;
步骤1.26) ,完成模型的训练,并保存所有模型参数。
6.根据权利要求5所述基于改进的支持向量机的网络安全态势评估方法,其特征在于:步骤2中使用训练好的基于AFSA优化的TWSVM多分类模型进行评估的方法,包括以下步骤:
步骤2.1) ,数据集中的所有数据进行归一化处理,并将每个样本的特征向量作为输入向量放入训练好的基于AFSA优化的TWSVM多分类模型中;
步骤2.2) ,得到的数值,安照1对应态势等级“安全”,2对应态势等级“轻度危险”,3对应态势等级“一般危险”,4对应态势等级“中度危险”,5对应态势等级“高度危险”的规则评估出当前网络安全态势等级;
步骤2.3) ,对数据中每一个样本都进行评估,完成测试过程。
7.根据权利要求6所述基于改进的支持向量机的网络安全态势评估方法,其特征在于:步骤1.1) 以20min为一个时间段采集网络空间中网络数据。
8.根据权利要求7所述基于改进的支持向量机的网络安全态势评估方法,其特征在于:步骤1.3)中每个归一化的样本特征向量采用人工经验方法评估当前样本的态势值。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210480083.3A CN114581694A (zh) | 2022-05-05 | 2022-05-05 | 一种基于改进的支持向量机的网络安全态势评估方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210480083.3A CN114581694A (zh) | 2022-05-05 | 2022-05-05 | 一种基于改进的支持向量机的网络安全态势评估方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114581694A true CN114581694A (zh) | 2022-06-03 |
Family
ID=81779454
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210480083.3A Pending CN114581694A (zh) | 2022-05-05 | 2022-05-05 | 一种基于改进的支持向量机的网络安全态势评估方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114581694A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115102736A (zh) * | 2022-06-15 | 2022-09-23 | 天津市国瑞数码安全系统股份有限公司 | 一种基于模式识别的网络安全评估的方法和系统 |
CN117034361A (zh) * | 2023-07-31 | 2023-11-10 | 广州承启医学检验有限公司 | 一种基因检测检验实验室信息管理方法及系统 |
CN117556339A (zh) * | 2023-11-17 | 2024-02-13 | 中国标准化研究院 | 一种网络违法行为风险危险等级评估方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6584433B1 (en) * | 2000-10-04 | 2003-06-24 | Hewlett-Packard Development Company Lp | Harmonic average based clustering method and system |
CN109444728A (zh) * | 2018-09-21 | 2019-03-08 | 国网河南省电力公司济源供电公司 | 一种基于动态加权混合聚类算法的断路器故障诊断方法 |
CN114004989A (zh) * | 2021-11-05 | 2022-02-01 | 南京工程学院 | 一种基于改进K-means算法的电力安全预警数据聚类处理方法 |
-
2022
- 2022-05-05 CN CN202210480083.3A patent/CN114581694A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6584433B1 (en) * | 2000-10-04 | 2003-06-24 | Hewlett-Packard Development Company Lp | Harmonic average based clustering method and system |
CN109444728A (zh) * | 2018-09-21 | 2019-03-08 | 国网河南省电力公司济源供电公司 | 一种基于动态加权混合聚类算法的断路器故障诊断方法 |
CN114004989A (zh) * | 2021-11-05 | 2022-02-01 | 南京工程学院 | 一种基于改进K-means算法的电力安全预警数据聚类处理方法 |
Non-Patent Citations (3)
Title |
---|
王子龙等: "基于距离和权重改进的K-means算法", 《计算机工程与应用》 * |
程家根: "基于机器学习的网络安全态势感知模型研究与实现", 《中国优秀博硕士学位论文全文数据库(硕士)信息科技辑》 * |
郭靖: "对K-means聚类算法欧氏距离加权系数的研究", 《网络安全技术与应用》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115102736A (zh) * | 2022-06-15 | 2022-09-23 | 天津市国瑞数码安全系统股份有限公司 | 一种基于模式识别的网络安全评估的方法和系统 |
CN115102736B (zh) * | 2022-06-15 | 2024-04-26 | 天津市国瑞数码安全系统股份有限公司 | 一种基于模式识别的网络安全评估的方法和系统 |
CN117034361A (zh) * | 2023-07-31 | 2023-11-10 | 广州承启医学检验有限公司 | 一种基因检测检验实验室信息管理方法及系统 |
CN117556339A (zh) * | 2023-11-17 | 2024-02-13 | 中国标准化研究院 | 一种网络违法行为风险危险等级评估方法 |
CN117556339B (zh) * | 2023-11-17 | 2024-04-26 | 中国标准化研究院 | 一种网络违法行为风险危险等级评估方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114581694A (zh) | 一种基于改进的支持向量机的网络安全态势评估方法 | |
CN111614491B (zh) | 一种面向电力监控系统安全态势评估指标选取方法及系统 | |
Tesfahun et al. | Intrusion detection using random forests classifier with SMOTE and feature reduction | |
CN106817248B (zh) | 一种apt攻击检测方法 | |
CN111428231A (zh) | 基于用户行为的安全处理方法、装置及设备 | |
CN111553127A (zh) | 一种多标记的文本类数据特征选择方法及装置 | |
CN109871954B (zh) | 训练样本生成方法、异常检测方法及装置 | |
CN105930723A (zh) | 一种基于特征选择的入侵检测方法 | |
CN107579846B (zh) | 一种云计算故障数据检测方法及系统 | |
CN109359439A (zh) | 软件检测方法、装置、设备及存储介质 | |
CN107846392A (zh) | 一种基于改进协同训练‑adbn的入侵检测算法 | |
CN113179263A (zh) | 一种网络入侵检测方法、装置及设备 | |
CN108985360A (zh) | 基于扩展形态学与主动学习的高光谱分类方法 | |
CN109299741A (zh) | 一种基于多层检测的网络攻击类型识别方法 | |
CN109190371A (zh) | 一种基于行为图的Android恶意软件检测方法和技术 | |
CN105072214A (zh) | 基于域名特征的c&c域名识别方法 | |
CN113434856B (zh) | 一种基于psogwo-svm算法的网络入侵检测方法 | |
CN112738092A (zh) | 一种日志数据增强方法、分类检测方法及系统 | |
CN107368526A (zh) | 一种数据处理方法及装置 | |
CN109191210A (zh) | 一种基于Adaboost算法的宽带目标用户识别方法 | |
CN111898129B (zh) | 基于Two-Head异常检测模型的恶意代码样本筛选器及方法 | |
CN111753299A (zh) | 一种基于分组集成的不平衡恶意软件检测方法 | |
CN114897085A (zh) | 一种基于封闭子图链路预测的聚类方法及计算机设备 | |
CN114254691A (zh) | 基于主动识别及智能监测的多渠道运营风控方法 | |
CN117708815A (zh) | 一种基于精简行为图的安卓恶意软件检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220603 |