CN114581694A - 一种基于改进的支持向量机的网络安全态势评估方法 - Google Patents

一种基于改进的支持向量机的网络安全态势评估方法 Download PDF

Info

Publication number
CN114581694A
CN114581694A CN202210480083.3A CN202210480083A CN114581694A CN 114581694 A CN114581694 A CN 114581694A CN 202210480083 A CN202210480083 A CN 202210480083A CN 114581694 A CN114581694 A CN 114581694A
Authority
CN
China
Prior art keywords
situation
sample
clustering
twsvm
network security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210480083.3A
Other languages
English (en)
Inventor
程家根
祁正华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing University of Posts and Telecommunications
Original Assignee
Nanjing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing University of Posts and Telecommunications filed Critical Nanjing University of Posts and Telecommunications
Priority to CN202210480083.3A priority Critical patent/CN114581694A/zh
Publication of CN114581694A publication Critical patent/CN114581694A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • G06F18/23213Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/004Artificial life, i.e. computing arrangements simulating life
    • G06N3/006Artificial life, i.e. computing arrangements simulating life based on simulated virtual individual or collective life forms, e.g. social simulations or particle swarm optimisation [PSO]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • General Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Biomedical Technology (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Probability & Statistics with Applications (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种基于改进的支持向量机的网络安全态势评估方法,网络安全态势评估是将当前网络的态势要素进行提取,根据这些态势要素对当前网络进行综合评估并划分态势等级。首先构建网络安全态势指标体系,根据指标体系中的二级指标提取态势要素组成特征向量,然后采用基于AFSA优化的TWSVM多模型对其进行分类评估,获取当前网络的态势等级,本发明能够有效的提高分类速度和网络安全态势评估的准确率。

Description

一种基于改进的支持向量机的网络安全态势评估方法
技术领域
本发明采用一种基于支持向量机改进的孪生支持向量机模型,对网络安全态势进行评估。提出一种基于人工鱼群算法优化的多分类孪生支持向量机的态势评估模型,对网络安全态势进行评估。主要解决当今已有的网络安全态势评估模型分类准确率低的问题,属于网络安全领域。
背景技术
随着网络规模以及复杂性的不断增大,网络的攻击技术也不断变化,例如恶意程序攻击、木马、分布式拒绝服务攻击(DDos)、蠕虫、病毒、Web代码注入、僵尸网络等新型的网络攻击工具大量的涌现。面对愈加复杂的攻击手段,传统的网络安全技术显得愈发力不从心,网络入侵无法避免,网络安全问题也愈发严重。尽管存在单独的安全组件来保护计算机网络免受以上每一种的攻击,例如:防火墙、IDS、病毒检测、修补漏洞等,但是这些组件只能去针对解决特定的攻击。因此,检测普遍存在的或者是企业范围中存在的网络攻击具有更大的挑战性(C.Onwubiko, “Security Framework for Attack Detection in ComputerNetwork”, VDM Verlag Publisher, ISBN: 978-3-639-08934-9, 2008)。更为重要是,现在的安全组件的部署方式使检测各种网络攻击,对网络攻击进行分类、评估企业网络中的安全情况以及迅速并准确的量化相关风险都变得极为困难。
面对新的网络安全形势,网络安全态势感知(Network Security SituationAwareness,NSSA)技术应用而生。过去,网络安全管理员大多依靠相关经验以及安全工具来感知和分析当前的网络状态,然而,网络安全管理员能够具备的知识量是有限的,各种安全工具也有一些短板。如今,随着计算机技术的不断发展,硬件设备的不断升级,计算机的计算能力有着质的飞跃,这些都为网络安全态势感知技术奠定了基础。网络态势感知技术通过采集网络空间中各个设备的网络安全数据,并对这些数据进行理解分析,从而实现对当前的网络状况进行评估,使网络安全管理员能够更全面的了解当前网络安全状态。
如今,随着数据量的增加以及数据元素之间的复杂性的提高,传统的数据融合技术已无法再继续为网络分析人员提供信息,国外越来越多的研究放在了网络安全态势感知评估这个方向上。2014年,Kotenko and E. Doynikova等在"Security Evaluation forCyber Situational Awareness," 2014 IEEE Intl Conf on High PerformanceComputing and Communications, 2014 IEEE 6th Intl Symp on Cyberspace Safetyand Security, 2014 IEEE 11th Intl Conf on Embedded Software and Syst (HPCC,CSS,ICESS), Paris, 2014, pp. 1197-1204中指出应采用基于不同安全度量的分类法及其技术来使用安全指标进行网络态势感知,提出了基于攻击者意图和服务依赖性的网络安全态势评估方法。I. Kotenko and E. Novikova,等在"Visualization of SecurityMetrics for Cyber Situation Awareness," 2014 Ninth International Conferenceon Availability, Reliability and Security, Fribourg, 2014, pp. 506-513中提出将可视化技术应用至网络安全态势评估中,通过可视化技术显示一组安全指标用于评估当前的网络状态并评估当前网络保护机制的效率。2015年, F. Skopik, M. Wurzenberger,G. Settanni and R. Fiedler等在"Establishing national cyber situationalawareness through incident information clustering," 2015 InternationalConference on Cyber Situational Awareness, Data Analytics and Assessment(CyberSA), London, 2015, pp. 1-8中,将由重要的事件指标组成的模型,并提出了一种高效地对事件数据进行聚类的算法,实现了大型网络空间进行态势感知评估。在国内,陈秀真等在层次化网络安全威胁态势量化评估方法[J].软件学报,2006(04):885-897中设计了一种层次化的网络安全态势评估方法。根据计算机网络的特点结合相关的网络服务,提出了自下而上,从局部到整体的态势量化评估模型。该模型能够较好的评估整体网络的态势值,为网络安全态势的预测奠定了基础。董建峰等在"The Building of Network SecuritySituation Evaluation and Prediction Model Based on Grey Theory," 2010International Conference on Challenges in Environmental Science and ComputerEngineering, Wuhan, 2010, pp. 401-404指出根据被攻击服务的危险等级,使用简单累加权重模型实现对当前网络的安全态势评估。王昆等在"Network security situationevaluation method based on attack intention recognition," 2015 4thInternational Conference on Computer Science and Network Technology (ICCSNT),Harbin, 2015, pp. 919-924提出一种基于攻击意图识别的网络安全态势评估方法,实现对攻击事件进行因果分析,以识别攻击意图和攻击阶段,然后根据攻击阶段进行态势评估。沈永军等在"The model of network security situation assessment based on randomforest," 2016 7th IEEE International Conference on Software Engineering andService Science (ICSESS), Beijing, 2016, pp. 977-980中采用不同于基于专家经验判断网络安全态势的方法,使用基于决策树构成多个分类器组合的思想,提出一种基于随机森林(Random Forest, RF)的网络安全态势评估模型。
发明内容
发明目的:为了克服现有技术中存在的不足,本发明提供一种基于改进的支持向量机的网络安全态势评估方法,典型的支持向量机(Support Vector Machine, SVM)模型存在分类速率以及分类速度上都存在一定的缺陷,因此可采用分类性能更高的孪生支持向量机(Twin Support Vector Machine, TWSVM)。针对TWSVM的参数难以调节的问题,引入改进的人工鱼群算法(Artificial Fish Swarm Algorithm, AFSA)进行优化,搜寻最优的参数。由于对网络安全态势进行分类是一个多分类问题,而TWSVM只能处理二分类问题,引入一种基于聚类算法优化的二叉树多分类模型,将该多分类模型与基于AFSA优化的TWSVM模型相结合构建分类器,用于对当前网络的态势进行分类。
技术方案:为实现上述目的,本发明采用的技术方案为:
一种基于改进的支持向量机的网络安全态势评估方法,包括以下步骤:
步骤1),训练阶段:获取过去时间段的网络安全态势要素,并计算出相应的态势 值,按照网络安全态势等级对照表划分态势等级,完成训练集的构建;对训练数据集采用
Figure 789497DEST_PATH_IMAGE001
聚类算法进行聚类,通过计算每个样本对象的密度,根据每个样本对象的密度得 到初始聚类中心,进而得到聚类中心,选取聚类中心对应的样本标记为+1类,其余样本标记 为-1类,作为输入样本;通过输入样本训练基于AFSA优化的TWSVM多分类模型,如果基于 AFSA优化的TWSVM多分类模型的分类数大于
Figure 855673DEST_PATH_IMAGE001
聚类算法的聚类数,则采用
Figure 283243DEST_PATH_IMAGE001
聚类算法进行重新聚类;如果基于AFSA优化的TWSVM多分类模型的分类数小于等于
Figure 141478DEST_PATH_IMAGE001
聚类算法的聚类数,则完成对基于AFSA优化的TWSVM多分类模型的训练,得到训练 好的基于AFSA优化的TWSVM多分类模型;
步骤2,测试阶段:对待评估的网络安全态势数据集,使用训练好的基于AFSA优化的TWSVM多分类模型进行评估。
优选的:步骤1)中完成训练集的构建的方法包括以下步骤:
步骤1.1),对网络空间中设备数据以及网络数据进行采集;
步骤1.2) ,根据网络安全态势指标体系中的二级指标从采集的设备数据以及网络数据中提取态势要素作为样本特征向量,并做归一化处理,得到样本以及归一化的样本特征向量;
步骤1.3),通过步骤1.2)得到了样本以及归一化的样本特征向量,根据每个归一化的样本特征向量评估当前样本的态势值,并根据网络安全态势等级对照表划分对应的态势等级作为样本的label值;将每个样本的特征向量以及对应的label值作为训练数据集写入到文本文件中;网络安全态势等级对照表包括态势等级和态势值范围,态势等级包括安全、轻度危险、一般危险、中度危险、高度危险,态势等级为“安全”的态势值范围为0.00~0.20,态势等级为“轻度危险”的态势值范围为0.21~0.40,态势等级为“一般危险”的态势值范围为0.41~0.60,态势等级为“中度危险”的态势值范围为0.61~0.80,态势等级为“高度危险”的态势值范围为0.81~1.00;
步骤1.4),将训练数据集中每个归一化的样本特征向量作为输入向量,并将样本中态势等级“安全”标记为1,态势等级“轻度危险”标记为2,态势等级“一般危险”标记为3,态势等级“中度危险”标记为4,态势等级“高度危险”标记为5。
优选的:对训练数据集采用
Figure 566774DEST_PATH_IMAGE001
聚类算法进行聚类的方法包括以下步骤:
步骤1.10),对训练数据集采用
Figure 916984DEST_PATH_IMAGE001
聚类算法进行聚类,首先计算每个样本对 象的密度
Figure 476141DEST_PATH_IMAGE002
,给定一个常数
Figure 798669DEST_PATH_IMAGE003
,计算一个样本对象到其他样本对象距离,选取最小的
Figure 457184DEST_PATH_IMAGE003
个样本 距离之和,并计算其平均数,当
Figure 622586DEST_PATH_IMAGE002
值越小时,表示该样本对象的密度越高;
Figure 595221DEST_PATH_IMAGE004
其中,
Figure 162469DEST_PATH_IMAGE005
Figure 726305DEST_PATH_IMAGE006
表示样本号,
Figure 254370DEST_PATH_IMAGE007
Figure 155329DEST_PATH_IMAGE008
为样本数量,
Figure 514767DEST_PATH_IMAGE009
为样本的特征维数,
Figure 452767DEST_PATH_IMAGE010
表示第
Figure 592761DEST_PATH_IMAGE005
个样本第
Figure 703937DEST_PATH_IMAGE011
维属性的样本特征,
Figure 855563DEST_PATH_IMAGE012
表示第
Figure 26782DEST_PATH_IMAGE006
个样本第
Figure 654072DEST_PATH_IMAGE011
维属性的样本特征;
步骤1.11),选取对应密度
Figure 772201DEST_PATH_IMAGE002
值最小的样本作为第一个初始聚类中心
Figure 168547DEST_PATH_IMAGE013
,计算其它 样本到初始聚类中心加权距离
Figure 528245DEST_PATH_IMAGE014
最大的样本点作为下一个样本初始聚类中心;首先,计 算数据集中每个特征维度的加权系数
Figure 987039DEST_PATH_IMAGE015
,然后计算加权距离值
Figure 33493DEST_PATH_IMAGE014
Figure 425291DEST_PATH_IMAGE016
Figure 938312DEST_PATH_IMAGE017
其中,
Figure 9036DEST_PATH_IMAGE011
为当前的特征维度,
Figure 468967DEST_PATH_IMAGE018
Figure 512010DEST_PATH_IMAGE019
为所有样本第
Figure 258249DEST_PATH_IMAGE011
维属性的平均值;
步骤1.12) ,完成5个初始聚类中心的选取,采用欧式距离公式计算样本距离,开 始聚类过程,直到聚类中心没有发生变化,获取五个等级类别的聚类中心
Figure 222794DEST_PATH_IMAGE020
步骤1.13) ,分别计算每个聚类中心到其它聚类中心的距离之和,并将得到的值 进行排序,将和为最大值所属的类别放至第一位并将其聚类中心记为
Figure 345470DEST_PATH_IMAGE021
,此时剩余4个类 别,再计算下一个聚类中心到剩余聚类中心的距离之和,排序后取最大值并记为
Figure 508599DEST_PATH_IMAGE022
,以此类 推,直到所有获取5个重新排序的聚类中心后结束,其顺序记为
Figure 566684DEST_PATH_IMAGE023
步骤1.14) ,选取聚类中心
Figure 612001DEST_PATH_IMAGE024
对应的样本标记为+1类,其余样本标记为-1类,作为 输入样本,
Figure 210472DEST_PATH_IMAGE025
优选的:步骤1中通过输入样本训练基于AFSA优化的TWSVM多分类模型的方法,包括以下步骤:
步骤1.20) ,开始训练第
Figure 165790DEST_PATH_IMAGE026
个基于AFSA优化的TWSVM分类模型;
步骤1.21), 初始化参数,人工鱼种群规模
Figure 191515DEST_PATH_IMAGE008
,最大迭代次数
Figure 724127DEST_PATH_IMAGE027
,视野
Figure 126290DEST_PATH_IMAGE028
, 步长
Figure 201693DEST_PATH_IMAGE029
,拥挤度因子
Figure 460636DEST_PATH_IMAGE030
,觅食最大尝试次数
Figure 418228DEST_PATH_IMAGE031
,TWSVM参数的上下限取值,选取高斯核函数
Figure 561764DEST_PATH_IMAGE032
作为TWSVM的核函数;
步骤1.22) ,初始化人工鱼,将每条人工鱼设置为TWSVM的待优化参数组合
Figure 282553DEST_PATH_IMAGE033
,根据TWSVM参数的上下限取值,随机初始化人工鱼;
步骤1.23), 计算初始鱼群的食物浓度,将策略
Figure 712397DEST_PATH_IMAGE034
作为决策函数,并以TWSVM的 分类准确率作为优化的目标函数
Figure 360547DEST_PATH_IMAGE035
,即为鱼群的食物浓度,计算每条人工鱼所在位置的食物 浓度,并保存当前最优的食物浓度值对应的人工鱼参数组合
Figure 104512DEST_PATH_IMAGE036
步骤1.24) ,执行人工鱼行为操作,每条人工鱼开始执行觅食行为、聚群行为和追 尾行为, 计算下一步移动地点
Figure 747983DEST_PATH_IMAGE037
,并以食物浓度值最大化行为作为准则,选择食物浓度 值最大的行为执行,如果行为缺失,则执行随机行为;
步骤1.23) ,更新最优食物浓度值,当鱼群中所有人工鱼都执行完以此行为后,开 始计算当前鱼群中最大的食物浓度值
Figure 755253DEST_PATH_IMAGE038
,与已保存的最大食物浓度值
Figure 421858DEST_PATH_IMAGE036
进行比较,
Figure 31831DEST_PATH_IMAGE039
则将
Figure 467492DEST_PATH_IMAGE036
替换为
Figure 380084DEST_PATH_IMAGE038
,即
Figure 533985DEST_PATH_IMAGE040
,并保存对用的人工鱼参数组合,否则
Figure 682069DEST_PATH_IMAGE036
保持不变;
步骤1.24) ,判断是否满足终止条件,如果当前迭代次数
Figure 441078DEST_PATH_IMAGE041
大于
Figure 586888DEST_PATH_IMAGE027
,则停止算 法,输出
Figure 290402DEST_PATH_IMAGE036
以及对应的参数组合,转步骤1.25),否则,增加迭代次数
Figure 179861DEST_PATH_IMAGE042
,对视野
Figure 793376DEST_PATH_IMAGE028
以及步长
Figure 172405DEST_PATH_IMAGE029
进行更新,并跳转至步骤1.22);
步骤1.25),判断当前是否完成所有分类器模型的训练,即将
Figure 300898DEST_PATH_IMAGE043
判断此时
Figure 931730DEST_PATH_IMAGE026
值是否 大于5,
Figure 196490DEST_PATH_IMAGE026
表示分类数,如果成立,表示五个分类器均训练完成,否则采用
Figure 746420DEST_PATH_IMAGE001
聚类算法 进行重新聚类;
步骤1.26) ,完成模型的训练,并保存所有模型参数。
优选的:步骤1.21)中的高斯核函数
Figure 299892DEST_PATH_IMAGE032
为:
Figure 859049DEST_PATH_IMAGE044
其中,
Figure 238035DEST_PATH_IMAGE045
Figure 99811DEST_PATH_IMAGE046
表示第
Figure 671738DEST_PATH_IMAGE005
个样本的样本特征向量,
Figure 769007DEST_PATH_IMAGE047
表示第
Figure 211621DEST_PATH_IMAGE006
个样本的样本特征向 量;
步骤1.23)中的策略
Figure 41037DEST_PATH_IMAGE034
为:
Figure 428156DEST_PATH_IMAGE048
其中,
Figure 735640DEST_PATH_IMAGE049
Figure 298340DEST_PATH_IMAGE050
是TWSVM对应超平面的法向量,
Figure 298657DEST_PATH_IMAGE051
Figure 173072DEST_PATH_IMAGE052
是TWSVM对应超平面的偏移量, 矩阵
Figure 284247DEST_PATH_IMAGE053
表示所有样本,它的每一行为一个训练样本,
Figure 435874DEST_PATH_IMAGE054
表示位置,
Figure 607092DEST_PATH_IMAGE032
表示核函数,
Figure 968804DEST_PATH_IMAGE055
表示转置;
步骤1.24)中的下一步移动地点
Figure 86932DEST_PATH_IMAGE037
Figure 155383DEST_PATH_IMAGE056
其中,
Figure 559819DEST_PATH_IMAGE057
为当前人工鱼位置,
Figure 346510DEST_PATH_IMAGE058
为觅食行为、群聚行为、追尾行为后发现的移动目 标位置,
Figure 2750DEST_PATH_IMAGE059
为生成0-1之间随机数的函数;
步骤1.24)中视野
Figure 925707DEST_PATH_IMAGE028
以及步长
Figure 501044DEST_PATH_IMAGE029
进行更新公式如下:
Figure 972434DEST_PATH_IMAGE060
其中,
Figure 229103DEST_PATH_IMAGE061
表示视野最小值,
Figure 334462DEST_PATH_IMAGE062
表示步长最小值,
Figure 18384DEST_PATH_IMAGE027
为最大的迭代次 数,
Figure 982929DEST_PATH_IMAGE041
为当前迭代次数,
Figure 840027DEST_PATH_IMAGE063
为大于1的整数。
优选的:步骤2中使用训练好的基于AFSA优化的TWSVM多分类模型进行评估的方法,包括以下步骤:
步骤2.1) ,数据集中的所有数据进行归一化处理,并将每个样本的特征向量作为输入向量放入训练好的基于AFSA优化的TWSVM多分类模型中;
步骤2.2) ,得到的数值,安照1对应态势等级“安全”,2对应态势等级“轻度危险”,3对应态势等级“一般危险”,4对应态势等级“中度危险”,5对应态势等级“高度危险”的规则评估出当前网络安全态势等级;
步骤2.3) ,对数据中每一个样本都进行评估,完成测试过程。
优选的:步骤1.1) 以20min为一个时间段采集网络空间中网络数据。
优选的:步骤1.3)中每个归一化的样本特征向量采用人工经验方法评估当前样本的态势值。
优选的:步骤1.2) 归一化处理公式如下:
Figure 737576DEST_PATH_IMAGE064
其中,
Figure 61241DEST_PATH_IMAGE065
表示归一化的样本特征向量,
Figure 778661DEST_PATH_IMAGE046
表示第
Figure 705029DEST_PATH_IMAGE005
个样本的样本特征向量,
Figure 660346DEST_PATH_IMAGE066
Figure 13967DEST_PATH_IMAGE067
分别为同一特征数据中的最小值和最大值。
优选的:视野最小值
Figure 484263DEST_PATH_IMAGE068
,步长最小值
Figure 89688DEST_PATH_IMAGE069
本发明相比现有技术,具有以下有益效果:
本发明通过将孪生支持向量机模型以及基于聚类算法优化的二叉树多分类模型相结合,有效的提高了模型的效率以及减少了在处理多分类问题时存在的累积误差。通过本方法的使用能够有效的提高网络安全态势评估的准确率。
附图说明
图1为网络安全态势指标体系。
图2为基于二叉树的网络安全态势感知多分类模型拓扑结构示意图。
图3为成训练集的构建示意图。
图4为基于AFSA优化的TWSVM多分类模型的训练流程图。
具体实施方式
下面结合附图和具体实施例,进一步阐明本发明,应理解这些实例仅用于说明本发明而不用于限制本发明的范围,在阅读了本发明之后,本领域技术人员对本发明的各种等价形式的修改均落于本申请所附权利要求所限定的范围。
一种基于改进的支持向量机的网络安全态势评估方法, 网络安全态势评估是将当前网络的态势要素进行提取,根据这些态势要素对当前网络进行综合评估并划分态势等级。首先构建网络安全态势指标体系,如图1、2所示。根据指标体系中的二级指标提取态势要素组成特征向量,然后采用基于AFSA优化的TWSVM多模型对其进行分类评估,获取当前网络的态势等级,采用Python为开发工具,其中详细的步骤如下:
一、训练阶段:获取过去时间段的网络安全态势要素,采用人工经验的方法计算出相应的态势值,按照网络安全态势等级对照表划分态势等级。完成训练集的构建,并训练基于AFSA优化的TWSVM多分类模型。
a) 训练数据集构建阶段,如图3所示:
步骤1) 对网络空间中设备的数据以及网络数据进行采集,以20min为一个时间段统计相关数据。
步骤2) 根据网络安全态势指标体系中的二级指标从采集的数据中提取态势要素作为样本的特征向量,并做归一化处理,公式如下。
Figure 696250DEST_PATH_IMAGE064
其中,
Figure 220772DEST_PATH_IMAGE065
表示归一化的样本特征向量,
Figure 116047DEST_PATH_IMAGE046
表示第
Figure 56321DEST_PATH_IMAGE005
个样本的样本特征向量,
Figure 110865DEST_PATH_IMAGE066
Figure 681654DEST_PATH_IMAGE067
分别为同一特征数据中的最小值和最大值。
步骤3) 通过步骤2)得到了样本以及每个样本的特征向量,根据每个样本的特征向量采用人工经验方法评估当前样本的态势值,并根据网络安全态势等级对照表(表1)划分对应的态势等级作为样本的label。将每个样本的特征向量以及对应的label值作为训练数据集写入到文本文件中。如表1所示,网络安全态势等级对照表包括态势等级和态势值范围,态势等级包括安全、轻度危险、一般危险、中度危险、高度危险,态势等级为“安全”的态势值范围为0.00~0.20,态势等级为“轻度危险”的态势值范围为0.21~0.40,态势等级为“一般危险”的态势值范围为0.41~0.60,态势等级为“中度危险”的态势值范围为0.61~0.80,态势等级为“高度危险”的态势值范围为0.81~1.00。
表1 网络安全态势等级对照表
Figure 126542DEST_PATH_IMAGE070
b) 基于AFSA优化的TWSVM多分类模型训练阶段:
步骤4) 将训练数据集中每个样本的特征向量作为输入向量,并将样本中态势等级“安全”标记为1,态势等级“轻度危险”标记为2,态势等级“一般危险”标记为3,态势等级“中度危险”标记为4,态势等级“高度危险”标记为5。
步骤5) 对训练数据集采用
Figure 932824DEST_PATH_IMAGE001
聚类算法进行分析,首先按照以下策略计算 每个样本对象的密度
Figure 717241DEST_PATH_IMAGE002
。即设定一个常数
Figure 85747DEST_PATH_IMAGE003
,计算一个样本对象到其他样本对象距离,选取最 小的
Figure 80248DEST_PATH_IMAGE003
个样本距离之和,并计算其平均数。当
Figure 565587DEST_PATH_IMAGE002
值越小时,表示该样本对象的密度越高。
Figure 1248DEST_PATH_IMAGE004
其中
Figure 976157DEST_PATH_IMAGE005
Figure 457954DEST_PATH_IMAGE006
表示样本号,
Figure 481405DEST_PATH_IMAGE007
Figure 37151DEST_PATH_IMAGE008
为样本数量,
Figure 245278DEST_PATH_IMAGE009
为样本的特征维数,
Figure 886475DEST_PATH_IMAGE010
表 示第
Figure 713617DEST_PATH_IMAGE005
个样本第
Figure 451766DEST_PATH_IMAGE011
维属性的样本特征,
Figure 768478DEST_PATH_IMAGE012
表示第
Figure 834654DEST_PATH_IMAGE006
个样本第
Figure 262224DEST_PATH_IMAGE011
维属性的样本特征。
步骤6) 选取对应
Figure 854880DEST_PATH_IMAGE002
值最小的样本作为第一个初始聚类中心
Figure 280176DEST_PATH_IMAGE013
,按照以下策略计算 其它样本到初始聚类中心加权距离
Figure 895965DEST_PATH_IMAGE014
最大的样本点作为下一个样本初始聚类中心。加权 距离计算的基本思路是:首先,计算数据集中每个特征维度的加权系数
Figure 455122DEST_PATH_IMAGE071
。然后计算加权距 离值
Figure 777650DEST_PATH_IMAGE014
Figure 170586DEST_PATH_IMAGE016
Figure 601567DEST_PATH_IMAGE017
其中,
Figure 308623DEST_PATH_IMAGE011
为当前的特征维度,
Figure 807694DEST_PATH_IMAGE018
Figure 433848DEST_PATH_IMAGE019
为所有样本第
Figure 24229DEST_PATH_IMAGE011
维属性的平均值,
Figure 534976DEST_PATH_IMAGE046
表示第
Figure 628834DEST_PATH_IMAGE005
个 样本的样本特征向量,
Figure 957047DEST_PATH_IMAGE047
表示第
Figure 706828DEST_PATH_IMAGE006
个样本的样本特征向量。
步骤7) 完成5个初始聚类中心的选取,采用欧式距离公式计算样本距离,开始聚 类过程,直到聚类中心没有发生变化,获取五个等级类别的聚类中心
Figure 83583DEST_PATH_IMAGE020
如图4所示,步骤8) 分别计算每个聚类中心到其它聚类中心的距离之和,并将得 到的值进行排序,将和为最大值所属的类别放至第一位并将其聚类中心记为
Figure 359843DEST_PATH_IMAGE021
,此时剩余4 个类别,重复前面的步骤,计算每个聚类中心到剩余聚类中心的距离之和,排序后取最大值 并记为
Figure 531062DEST_PATH_IMAGE022
,以此类推,直到所有获取5个重新排序的聚类中心后结束,其顺序记为
Figure 768139DEST_PATH_IMAGE023
。设定
Figure 683006DEST_PATH_IMAGE072
步骤9) 选取聚类中心
Figure 813773DEST_PATH_IMAGE024
对应的样本标记为+1类,其余样本标记为-1类,作为输入 样本。
步骤10) 开始训练第
Figure 359155DEST_PATH_IMAGE026
个基于AFSA优化的TWSVM分类模型。
步骤11) 初始化参数。人工鱼种群规模
Figure 145845DEST_PATH_IMAGE008
,最大迭代次数
Figure 926719DEST_PATH_IMAGE027
,视野
Figure 52938DEST_PATH_IMAGE028
,步长
Figure 565959DEST_PATH_IMAGE029
,拥挤度因子
Figure 167842DEST_PATH_IMAGE030
,觅食最大尝试次数
Figure 362194DEST_PATH_IMAGE031
,TWSVM参数的上下限取值,选取高斯核函数
Figure 405236DEST_PATH_IMAGE032
作 为TWSVM的核函数。
Figure 417055DEST_PATH_IMAGE044
其中
Figure 850441DEST_PATH_IMAGE045
步骤12) 初始化人工鱼。将每条人工鱼设置为TWSVM的待优化参数组合
Figure 904942DEST_PATH_IMAGE033
, 根据TWSVM参数的上下限取值,随机初始化人工鱼。每条人工鱼将会并行寻优,提高模型效 率。
步骤13) 计算初始鱼群的食物浓度。将策略
Figure 864807DEST_PATH_IMAGE034
作为决策函数,并以TWSVM的分类 准确率作为优化的目标函数
Figure 719631DEST_PATH_IMAGE035
,即为鱼群的食物浓度。计算每条人工鱼所在位置的食物浓 度,并保存当前最优的食物浓度值对应的人工鱼参数组合
Figure 905893DEST_PATH_IMAGE036
Figure 504364DEST_PATH_IMAGE048
其中
Figure 584316DEST_PATH_IMAGE049
Figure 813303DEST_PATH_IMAGE050
是TWSVM对应超平面的法向量,
Figure 283598DEST_PATH_IMAGE051
Figure 13657DEST_PATH_IMAGE052
是TWSVM对应超平面的偏移量,矩 阵
Figure 557902DEST_PATH_IMAGE053
表示所有样本,它的每一行为一个训练样本,
Figure 20107DEST_PATH_IMAGE032
表示核函数。
步骤14) 执行人工鱼行为操作。每条人工鱼开始执行觅食行为、聚群行为和追尾 行为,根据以下策略
Figure 40016DEST_PATH_IMAGE037
计算下一步移动地点,并以食物浓度值最大化行为作为准则,选 择食物浓度值最大的行为执行,如果行为缺失,则执行随机行为。
Figure 980290DEST_PATH_IMAGE056
其中,
Figure 644621DEST_PATH_IMAGE057
为当前人工鱼位置,
Figure 277727DEST_PATH_IMAGE058
为觅食行为、群聚行为、追尾行为后发现的移动目 标位置,
Figure 784932DEST_PATH_IMAGE059
为生成0-1之间随机数的函数。
步骤13) 更新最优食物浓度值。当鱼群中所有人工鱼都执行完以此行为后,开始 计算当前鱼群中最大的食物浓度值
Figure 466580DEST_PATH_IMAGE038
,与已保存的最大食物浓度值
Figure 313314DEST_PATH_IMAGE036
进行比较,
Figure 914059DEST_PATH_IMAGE039
则将
Figure 846243DEST_PATH_IMAGE036
替换为
Figure 66003DEST_PATH_IMAGE038
,即
Figure 767243DEST_PATH_IMAGE040
,并保存对用的人工鱼参数组合。否则
Figure 804469DEST_PATH_IMAGE036
保持不变。
步骤14) 判断是否满足终止条件。如果当前迭代次数
Figure 155773DEST_PATH_IMAGE041
大于
Figure 241540DEST_PATH_IMAGE027
,则停止算法,输 出
Figure 859604DEST_PATH_IMAGE036
以及对应的参数组合,转步骤15)。否则,增加迭代次数
Figure 5414DEST_PATH_IMAGE042
,对视野
Figure 584294DEST_PATH_IMAGE028
以及步 长
Figure 208174DEST_PATH_IMAGE029
进行更新,更新公式如下,并跳转至步骤12)。
Figure 211902DEST_PATH_IMAGE060
其中,
Figure 200717DEST_PATH_IMAGE068
Figure 329210DEST_PATH_IMAGE069
Figure 819098DEST_PATH_IMAGE027
为最大的迭代次数,
Figure 349436DEST_PATH_IMAGE041
为当前迭代次数,
Figure 774732DEST_PATH_IMAGE063
为大于1的整数。
步骤15) 判断当前是否完成所有分类器模型的训练,即将
Figure 390521DEST_PATH_IMAGE043
判断此时
Figure 418520DEST_PATH_IMAGE026
值是否大 于5。如果成立,表示五个分类器均训练完成,否则转步骤7)。
步骤16) 完成模型的训练,并保存所有模型参数。
二、测试阶段:对待评估的网络安全态势数据集,使用训练好的基于AFSA优化的TWSVM多分类模型进行评估。
步骤1) 数据集中的所有数据进行归一化处理,并将每个样本的特征向量作为输入向量放入训练好的模型中。
步骤2) 得到的数值,安照1对应态势等级“安全”,2对应态势等级“轻度危险”,3对应态势等级“一般危险”,4对应态势等级“中度危险”,5对应态势等级“高度危险”的规则评估出当前网络安全态势等级。
步骤3) 对数据中每一个样本都进行评估,完成测试过程。
本发明利用了支持向量机的改进模型孪生支持向量机,将模型分类的速度以及准确率进行了提高。对于孪生支持向量机中存在模型参数难以调节的问题,采用人工鱼群算法对模型参数自动寻优,并优化寻优过程中视野参数以及步长参数,使其能够自适应调节,提高寻优速度。形成基于改进的人工鱼群算法优化的孪生支持向量机分类模型。
由于网络安全态势评估评估模型是一个多分类模型,可采用二叉树多分类模型与基于改进的人工鱼群算法优化的孪生支持向量机分类模型相结合。针对二叉树模型存在的累积误差问题,即对于分类前期发生错误的样本,该错误会在后期延续。采用聚类算法对其进行优化,确定二叉树节点所处类别的分离顺序。
利用基于改进的支持向量机的网络安全态势感知评估模型,能够有效的提高网络安全态势评估的准确率。
以上所述仅是本发明的优选实施方式,应当指出:对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (10)

1.一种基于改进的支持向量机的网络安全态势评估方法,其特征在于,包括以下步骤:
步骤1),训练阶段:获取过去时间段的网络安全态势要素,并计算出相应的态势值,按 照网络安全态势等级对照表划分态势等级,完成训练集的构建;对训练数据集采用
Figure 571240DEST_PATH_IMAGE001
聚类算法进行聚类,通过计算每个样本对象的密度,根据每个样本对象的密度得 到初始聚类中心,进而得到聚类中心,选取聚类中心对应的样本标记为+1类,其余样本标记 为-1类,作为输入样本;通过输入样本训练基于AFSA优化的TWSVM多分类模型,如果基于 AFSA优化的TWSVM多分类模型的分类数大于
Figure 486106DEST_PATH_IMAGE001
聚类算法的聚类数,则采用
Figure 882452DEST_PATH_IMAGE001
聚类算法进行重新聚类;如果基于AFSA优化的TWSVM多分类模型的分类数小于等于
Figure 162255DEST_PATH_IMAGE001
聚类算法的聚类数,则完成对基于AFSA优化的TWSVM多分类模型的训练,得到训练 好的基于AFSA优化的TWSVM多分类模型;
步骤2,测试阶段:对待评估的网络安全态势数据集,使用训练好的基于AFSA优化的TWSVM多分类模型进行评估。
2.根据权利要求1所述基于改进的支持向量机的网络安全态势评估方法,其特征在于,步骤1)中完成训练集的构建的方法包括以下步骤:
步骤1.1),对网络空间中设备数据以及网络数据进行采集;
步骤1.2) ,根据网络安全态势指标体系中的二级指标从采集的设备数据以及网络数据中提取态势要素作为样本特征向量,并做归一化处理,得到样本以及归一化的样本特征向量;
步骤1.3),通过步骤1.2)得到了样本以及归一化的样本特征向量,根据每个归一化的样本特征向量评估当前样本的态势值,并根据网络安全态势等级对照表划分对应的态势等级作为样本的label值;将每个样本的特征向量以及对应的label值作为训练数据集写入到文本文件中;网络安全态势等级对照表包括态势等级和态势值范围,态势等级包括安全、轻度危险、一般危险、中度危险、高度危险,态势等级为“安全”的态势值范围为0.00~0.20,态势等级为“轻度危险”的态势值范围为0.21~0.40,态势等级为“一般危险”的态势值范围为0.41~0.60,态势等级为“中度危险”的态势值范围为0.61~0.80,态势等级为“高度危险”的态势值范围为0.81~1.00;
步骤1.4),将训练数据集中每个归一化的样本特征向量作为输入向量,并将样本中态势等级“安全”标记为1,态势等级“轻度危险”标记为2,态势等级“一般危险”标记为3,态势等级“中度危险”标记为4,态势等级“高度危险”标记为5。
3.根据权利要求2所述基于改进的支持向量机的网络安全态势评估方法,其特征在于, 对训练数据集采用
Figure 948946DEST_PATH_IMAGE001
聚类算法进行聚类的方法包括以下步骤:
步骤1.10),对训练数据集采用
Figure 729820DEST_PATH_IMAGE001
聚类算法进行聚类,首先计算每个样本对象的 密度
Figure 652776DEST_PATH_IMAGE002
,给定一个常数
Figure 369060DEST_PATH_IMAGE003
,计算一个样本对象到其他样本对象距离,选取最小的
Figure 705363DEST_PATH_IMAGE003
个样本距离 之和,并计算其平均数,当
Figure 165294DEST_PATH_IMAGE002
值越小时,表示该样本对象的密度越高;
Figure 225915DEST_PATH_IMAGE004
其中,
Figure 972154DEST_PATH_IMAGE005
Figure 671120DEST_PATH_IMAGE006
表示样本号,
Figure 731480DEST_PATH_IMAGE007
Figure 956925DEST_PATH_IMAGE008
为样本数量,
Figure 749431DEST_PATH_IMAGE009
为样本的特征维数,
Figure 998010DEST_PATH_IMAGE010
表示 第
Figure 924378DEST_PATH_IMAGE005
个样本第
Figure 410854DEST_PATH_IMAGE011
维属性的样本特征,
Figure 905420DEST_PATH_IMAGE012
表示第
Figure 438033DEST_PATH_IMAGE006
个样本第
Figure 840195DEST_PATH_IMAGE011
维属性的样本特征;
步骤1.11),选取对应密度
Figure 384440DEST_PATH_IMAGE002
值最小的样本作为第一个初始聚类中心
Figure 174542DEST_PATH_IMAGE013
,计算其它样本到 初始聚类中心加权距离
Figure 132133DEST_PATH_IMAGE014
最大的样本点作为下一个样本初始聚类中心;首先,计算数据 集中每个特征维度的加权系数
Figure 275670DEST_PATH_IMAGE015
,然后计算加权距离值
Figure 64634DEST_PATH_IMAGE014
Figure 697741DEST_PATH_IMAGE016
Figure 80312DEST_PATH_IMAGE017
其中,
Figure 886594DEST_PATH_IMAGE011
为当前的特征维度,
Figure 733327DEST_PATH_IMAGE018
Figure 209439DEST_PATH_IMAGE019
为所有样本第
Figure 469519DEST_PATH_IMAGE011
维属性的平均值;
步骤1.12) ,完成5个初始聚类中心的选取,采用欧式距离公式计算样本距离,开始聚 类过程,直到聚类中心没有发生变化,获取五个等级类别的聚类中心
Figure 751596DEST_PATH_IMAGE020
步骤1.13) ,分别计算每个聚类中心到其它聚类中心的距离之和,并将得到的值进行 排序,将和为最大值所属的类别放至第一位并将其聚类中心记为
Figure 384659DEST_PATH_IMAGE021
,此时剩余4个类别,再 计算下一个聚类中心到剩余聚类中心的距离之和,排序后取最大值并记为
Figure 421885DEST_PATH_IMAGE022
,以此类推,直 到所有获取5个重新排序的聚类中心后结束,其顺序记为
Figure 44628DEST_PATH_IMAGE023
步骤1.14) ,选取聚类中心
Figure 130395DEST_PATH_IMAGE024
对应的样本标记为+1类,其余样本标记为-1类,作为输入 样本,
Figure 154983DEST_PATH_IMAGE025
4.根据权利要求3所述基于改进的支持向量机的网络安全态势评估方法,其特征在于,步骤1中通过输入样本训练基于AFSA优化的TWSVM多分类模型的方法,包括以下步骤:
步骤1.20) ,开始训练第
Figure 628690DEST_PATH_IMAGE026
个基于AFSA优化的TWSVM分类模型;
步骤1.21), 初始化参数,人工鱼种群规模
Figure 269887DEST_PATH_IMAGE008
,最大迭代次数
Figure 97028DEST_PATH_IMAGE027
,视野
Figure 835177DEST_PATH_IMAGE028
,步长
Figure 886310DEST_PATH_IMAGE029
,拥挤度因子
Figure 952486DEST_PATH_IMAGE030
,觅食最大尝试次数
Figure 707952DEST_PATH_IMAGE031
,TWSVM参数的上下限取值,选取高斯核函数
Figure 972712DEST_PATH_IMAGE032
作 为TWSVM的核函数;
步骤1.22) ,初始化人工鱼,将每条人工鱼设置为TWSVM的待优化参数组合
Figure 663587DEST_PATH_IMAGE033
,根 据TWSVM参数的上下限取值,随机初始化人工鱼;
步骤1.23), 计算初始鱼群的食物浓度,将策略
Figure 607272DEST_PATH_IMAGE034
作为决策函数,并以TWSVM的分类准 确率作为优化的目标函数
Figure 572954DEST_PATH_IMAGE035
,即为鱼群的食物浓度,计算每条人工鱼所在位置的食物浓度, 并保存当前最优的食物浓度值对应的人工鱼参数组合
Figure 895482DEST_PATH_IMAGE036
步骤1.24) ,执行人工鱼行为操作,每条人工鱼开始执行觅食行为、聚群行为和追尾行 为, 计算下一步移动地点
Figure 881893DEST_PATH_IMAGE037
,并以食物浓度值最大化行为作为准则,选择食物浓度值最 大的行为执行,如果行为缺失,则执行随机行为;
步骤1.23) ,更新最优食物浓度值,当鱼群中所有人工鱼都执行完以此行为后,开始计 算当前鱼群中最大的食物浓度值
Figure 984978DEST_PATH_IMAGE038
,与已保存的最大食物浓度值
Figure 692034DEST_PATH_IMAGE036
进行比较,
Figure 259282DEST_PATH_IMAGE039
则 将
Figure 88698DEST_PATH_IMAGE036
替换为
Figure 616762DEST_PATH_IMAGE038
,即
Figure 252143DEST_PATH_IMAGE040
,并保存对用的人工鱼参数组合,否则
Figure 605720DEST_PATH_IMAGE036
保持不变;
步骤1.24) ,判断是否满足终止条件,如果当前迭代次数
Figure 543721DEST_PATH_IMAGE041
大于
Figure 683715DEST_PATH_IMAGE027
,则停止算法,输出
Figure 60470DEST_PATH_IMAGE036
以及对应的参数组合,转步骤1.25),否则,增加迭代次数
Figure 212096DEST_PATH_IMAGE042
,对视野
Figure 711211DEST_PATH_IMAGE028
以及步 长
Figure 10605DEST_PATH_IMAGE029
进行更新,并跳转至步骤1.22);
步骤1.25),判断当前是否完成所有分类器模型的训练,即将
Figure 597575DEST_PATH_IMAGE043
判断此时
Figure 931605DEST_PATH_IMAGE026
值是否大于 5,
Figure 336041DEST_PATH_IMAGE026
表示分类数,如果成立,表示五个分类器均训练完成,否则采用
Figure 325994DEST_PATH_IMAGE001
聚类算法进行 重新聚类;
步骤1.26) ,完成模型的训练,并保存所有模型参数。
5.根据权利要求4所述基于改进的支持向量机的网络安全态势评估方法,其特征在于, 步骤1.21)中的高斯核函数
Figure 106868DEST_PATH_IMAGE032
为:
Figure 29825DEST_PATH_IMAGE044
其中,
Figure 746108DEST_PATH_IMAGE045
Figure 20095DEST_PATH_IMAGE046
表示第
Figure 339081DEST_PATH_IMAGE005
个样本的样本特征向量,
Figure 585385DEST_PATH_IMAGE047
表示第
Figure 597204DEST_PATH_IMAGE006
个样本的样本特征向量;
步骤1.23)中的策略
Figure 92907DEST_PATH_IMAGE034
为:
Figure 90950DEST_PATH_IMAGE048
其中,
Figure 988499DEST_PATH_IMAGE049
Figure 905639DEST_PATH_IMAGE050
是TWSVM对应超平面的法向量,
Figure 154218DEST_PATH_IMAGE051
Figure 684513DEST_PATH_IMAGE052
是TWSVM对应超平面的偏移量,矩阵
Figure 764465DEST_PATH_IMAGE053
表示所有样本,它的每一行为一个训练样本,
Figure 55769DEST_PATH_IMAGE054
表示位置,
Figure 463748DEST_PATH_IMAGE032
表示核函数,
Figure 600331DEST_PATH_IMAGE055
表示转置;
步骤1.24)中的下一步移动地点
Figure 534789DEST_PATH_IMAGE037
Figure 200256DEST_PATH_IMAGE056
其中,
Figure 220165DEST_PATH_IMAGE057
为当前人工鱼位置,
Figure 426018DEST_PATH_IMAGE058
为觅食行为、群聚行为、追尾行为后发现的移动目标位 置,
Figure 90349DEST_PATH_IMAGE059
为生成0-1之间随机数的函数;
步骤1.24)中视野
Figure 457877DEST_PATH_IMAGE028
以及步长
Figure 230660DEST_PATH_IMAGE029
进行更新公式如下:
Figure 443467DEST_PATH_IMAGE060
其中,
Figure 24621DEST_PATH_IMAGE061
表示视野最小值,
Figure 766312DEST_PATH_IMAGE062
表示步长最小值,
Figure 760813DEST_PATH_IMAGE027
为最大的迭代次数,
Figure 308469DEST_PATH_IMAGE041
为当前迭代次数,
Figure 947392DEST_PATH_IMAGE063
为大于1的整数。
6.根据权利要求5所述基于改进的支持向量机的网络安全态势评估方法,其特征在于:步骤2中使用训练好的基于AFSA优化的TWSVM多分类模型进行评估的方法,包括以下步骤:
步骤2.1) ,数据集中的所有数据进行归一化处理,并将每个样本的特征向量作为输入向量放入训练好的基于AFSA优化的TWSVM多分类模型中;
步骤2.2) ,得到的数值,安照1对应态势等级“安全”,2对应态势等级“轻度危险”,3对应态势等级“一般危险”,4对应态势等级“中度危险”,5对应态势等级“高度危险”的规则评估出当前网络安全态势等级;
步骤2.3) ,对数据中每一个样本都进行评估,完成测试过程。
7.根据权利要求6所述基于改进的支持向量机的网络安全态势评估方法,其特征在于:步骤1.1) 以20min为一个时间段采集网络空间中网络数据。
8.根据权利要求7所述基于改进的支持向量机的网络安全态势评估方法,其特征在于:步骤1.3)中每个归一化的样本特征向量采用人工经验方法评估当前样本的态势值。
9.根据权利要求8所述基于改进的支持向量机的网络安全态势评估方法,其特征在于:步骤1.2) 归一化处理公式如下:
Figure 984618DEST_PATH_IMAGE064
其中,
Figure 404098DEST_PATH_IMAGE065
表示归一化的样本特征向量,
Figure 693128DEST_PATH_IMAGE046
表示第
Figure 311191DEST_PATH_IMAGE005
个样本的样本特征向量,
Figure 191423DEST_PATH_IMAGE066
Figure 787881DEST_PATH_IMAGE067
分别 为同一特征数据中的最小值和最大值。
10.根据权利要求9所述基于改进的支持向量机的网络安全态势评估方法,其特征在 于:视野最小值
Figure 5235DEST_PATH_IMAGE068
,步长最小值
Figure 415488DEST_PATH_IMAGE069
CN202210480083.3A 2022-05-05 2022-05-05 一种基于改进的支持向量机的网络安全态势评估方法 Pending CN114581694A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210480083.3A CN114581694A (zh) 2022-05-05 2022-05-05 一种基于改进的支持向量机的网络安全态势评估方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210480083.3A CN114581694A (zh) 2022-05-05 2022-05-05 一种基于改进的支持向量机的网络安全态势评估方法

Publications (1)

Publication Number Publication Date
CN114581694A true CN114581694A (zh) 2022-06-03

Family

ID=81779454

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210480083.3A Pending CN114581694A (zh) 2022-05-05 2022-05-05 一种基于改进的支持向量机的网络安全态势评估方法

Country Status (1)

Country Link
CN (1) CN114581694A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115102736A (zh) * 2022-06-15 2022-09-23 天津市国瑞数码安全系统股份有限公司 一种基于模式识别的网络安全评估的方法和系统
CN117034361A (zh) * 2023-07-31 2023-11-10 广州承启医学检验有限公司 一种基因检测检验实验室信息管理方法及系统
CN117556339A (zh) * 2023-11-17 2024-02-13 中国标准化研究院 一种网络违法行为风险危险等级评估方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6584433B1 (en) * 2000-10-04 2003-06-24 Hewlett-Packard Development Company Lp Harmonic average based clustering method and system
CN109444728A (zh) * 2018-09-21 2019-03-08 国网河南省电力公司济源供电公司 一种基于动态加权混合聚类算法的断路器故障诊断方法
CN114004989A (zh) * 2021-11-05 2022-02-01 南京工程学院 一种基于改进K-means算法的电力安全预警数据聚类处理方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6584433B1 (en) * 2000-10-04 2003-06-24 Hewlett-Packard Development Company Lp Harmonic average based clustering method and system
CN109444728A (zh) * 2018-09-21 2019-03-08 国网河南省电力公司济源供电公司 一种基于动态加权混合聚类算法的断路器故障诊断方法
CN114004989A (zh) * 2021-11-05 2022-02-01 南京工程学院 一种基于改进K-means算法的电力安全预警数据聚类处理方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
王子龙等: "基于距离和权重改进的K-means算法", 《计算机工程与应用》 *
程家根: "基于机器学习的网络安全态势感知模型研究与实现", 《中国优秀博硕士学位论文全文数据库(硕士)信息科技辑》 *
郭靖: "对K-means聚类算法欧氏距离加权系数的研究", 《网络安全技术与应用》 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115102736A (zh) * 2022-06-15 2022-09-23 天津市国瑞数码安全系统股份有限公司 一种基于模式识别的网络安全评估的方法和系统
CN115102736B (zh) * 2022-06-15 2024-04-26 天津市国瑞数码安全系统股份有限公司 一种基于模式识别的网络安全评估的方法和系统
CN117034361A (zh) * 2023-07-31 2023-11-10 广州承启医学检验有限公司 一种基因检测检验实验室信息管理方法及系统
CN117556339A (zh) * 2023-11-17 2024-02-13 中国标准化研究院 一种网络违法行为风险危险等级评估方法
CN117556339B (zh) * 2023-11-17 2024-04-26 中国标准化研究院 一种网络违法行为风险危险等级评估方法

Similar Documents

Publication Publication Date Title
CN114581694A (zh) 一种基于改进的支持向量机的网络安全态势评估方法
Tesfahun et al. Intrusion detection using random forests classifier with SMOTE and feature reduction
CN111614491B (zh) 一种面向电力监控系统安全态势评估指标选取方法及系统
CN106817248B (zh) 一种apt攻击检测方法
CN104598813B (zh) 一种基于集成学习和半监督svm的计算机入侵检测方法
CN111428231A (zh) 基于用户行为的安全处理方法、装置及设备
CN109871954B (zh) 训练样本生成方法、异常检测方法及装置
CN111553127A (zh) 一种多标记的文本类数据特征选择方法及装置
CN105930723A (zh) 一种基于特征选择的入侵检测方法
CN107579846B (zh) 一种云计算故障数据检测方法及系统
CN107846392A (zh) 一种基于改进协同训练‑adbn的入侵检测算法
CN109359439A (zh) 软件检测方法、装置、设备及存储介质
CN108985360A (zh) 基于扩展形态学与主动学习的高光谱分类方法
CN113179263A (zh) 一种网络入侵检测方法、装置及设备
CN105072214A (zh) 基于域名特征的c&c域名识别方法
CN109214444B (zh) 基于孪生神经网络和gmm的游戏防沉迷判定系统及方法
CN109067800A (zh) 一种固件漏洞的跨平台关联检测方法
CN112738092A (zh) 一种日志数据增强方法、分类检测方法及系统
CN107368526A (zh) 一种数据处理方法及装置
CN111898129B (zh) 基于Two-Head异常检测模型的恶意代码样本筛选器及方法
CN113434856A (zh) 一种基于psogwo-svm算法的网络入侵检测方法
CN109191210A (zh) 一种基于Adaboost算法的宽带目标用户识别方法
CN113269228A (zh) 一种图网络分类模型的训练方法、装置、系统及电子设备
CN111753299A (zh) 一种基于分组集成的不平衡恶意软件检测方法
CN114897085A (zh) 一种基于封闭子图链路预测的聚类方法及计算机设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20220603