CN115051864B

CN115051864B - 基于pca-mf-wnn的网络安全态势要素提取方法及系统

Info

Publication number: CN115051864B
Application number: CN202210708250.5A
Authority: CN
Inventors: 张然; 潘芷涵; 甘勇; 尹毅峰; 王一帆
Original assignee: Zhengzhou University of Light Industry
Current assignee: Zhengzhou University of Light Industry
Priority date: 2022-06-21
Filing date: 2022-06-21
Publication date: 2024-02-27
Anticipated expiration: 2042-06-21
Also published as: CN115051864A

Abstract

本发明涉及一种基于PCA‑MF‑WNN的网络安全态势要素提取方法及系统，对初始数据通过主成分分析法进行降维，去除冗余的态势要素，属性约简，在降低数据复杂度的同时尽可能的用少数几个主成分来保留原始数据集的信息，训练加入动量因子的小波神经网络，通过加入动量因子的方法来提升小波神经网络的学习效率，将经过主成分分析法降维后的数据输入改进的小波神经网络中进行分类训练，得到态势要素提取模型。对小波神经网络的参数进行修正，可提高小波分类器的分类精度与分类效率。因此在利用态势要素提取模型进行网络安全态势要素提取时，能够提高态势要素提取的分类精度，而且也进一步提高了分类效率。

Description

基于PCA-MF-WNN的网络安全态势要素提取方法及系统

技术领域

本发明涉及网络安全态势感知领域中的一种基于PCA-MF-WNN的网络安全态势要素提取方法及系统。

背景技术

在计算机网络、大数据、云计算技术飞速发展的时代，安全问题也接踵而至。网络安全威胁通常以有组织有预谋的行为模式展开，随着网络使用的普及，网络安全威胁也逐渐演变为一种深层次、不可预估的社会行为。网络安全态势感知技术具有全面洞察安全系统风险的能力，可以帮助网络管理员及时、动态地掌握网络的运行状况。网络安全态势感知技术主要分为三个核心步骤：态势要素提取、态势评估和态势预测。态势要素提取技术是态势感知的准备工作，主要负责对从安全设备中采集到的多源异构数据进行处理，然后提取出影响网络正常运行的因素，并按照一定的规则进行分类识别，获得最终的态势要素。态势要素提取质量的好坏直接影响着网络安全态势评估和预测的准确性，因此采用精准有效的方法进行网络安全态势要素提取具有重要意义。

国外在态势要素提取领域的研究开始较早，比如：将数据挖掘技术与多传感器数据融合的网络态势感知框架相结合来实现态势要素的提取；结合战争态势及其环境问题构造了基于概念模型的态势要素提取方法；在针对态势感知进行研究时提出了对态势要素提取技术具有一定引导作用的抽象实体的概念；基于特征选择的数据预处理技术，使用卡方检验和排序搜索方法进行特征约简，降低数据维度，以方便下一步使用贝叶斯分类器进行识别攻击，等等。

国内的学者们也针对态势要素提取提出了不同的态势要素提取模型，比如：针对目前大多网络安全态势要素提取方法未考虑到对多特征态势信息降维导致误警率较高的问题提出了一种多特征降维的网络安全态势要素提取模型，但并未对如何改进模型的提取效率进行研究；为了解决网络安全态势要素提取中存在的数据特征提取不完整等问题，提出一种将CNN与BiLSTM结合的特征提取方法；针对小类攻击样本不能被有效检测的问题提出一种基于卷积神经网络与生成对抗网络相结合的态势要素提取模型，通过生成对抗网络扩充的数据集再加上迁移学习算法，来提高网络安全态势要素提取的分类精度；使用随机森林分类器实现态势要素提取，并在态势要素提取之前使用粗糙集进行属性约简消除冗余。

上述现有的各方法在进行态势要素提取时，主要针对态势要素提取的分类精度进行改进，但这些态势要素提取方法的分类精度和执行效率仍有待进一步提高。

发明内容

本发明提供一种基于PCA-MF-WNN的网络安全态势要素提取方法及系统，用以解决现有方法的态势要素提取的分类精度较低的技术问题。

本发明采用以下技术方案：

一种基于PCA-MF-WNN的网络安全态势要素提取方法，包括：

对初始数据通过主成分分析法进行降维；

初始化改进小波神经网络的小波函数参数以及网络连接权值，设置网络学习速率以及动量因子；其中，改进小波神经网络为加入动量因子的小波神经网络；将降维后的数据划分为训练集和测试集，将所述训练集输入到所述改进的小波神经网络中进行训练，计算小波神经网络的网络预测输出，以及网络的预测输出与期望输出之间的误差；根据所述误差，修正所述小波函数参数以及网络连接权值，使网络预测输出不断接近期望输出，直至训练结束，最后得到态势要素提取模型；

将所述测试集输入所述态势要素提取模型中进行测试；

利用测试完成的所述态势要素提取模型在实际环境中进行网络安全态势要素提取。

进一步地，所述对初始数据通过主成分分析法进行降维之前，所述网络安全态势要素提取方法还包括：对所述初始数据进行预处理，统一数据格式和类型。

进一步地，所述小波函数参数包括伸缩因子和平移因子。

进一步地，所述根据所述误差，修正所述小波函数参数以及网络连接权值，包括：采用如下计算公式修正所述小波函数参数以及网络连接权值：

其中，ω_ij是小波神经网络输入层与隐含层之间的连接权值，ω_jk是小波神经网络隐含层与输出层之间的连接权值；error是所述误差；δ为动量因子；b_j为小波基函数h_j的平移因子，a_j为小波基函数h_j的伸缩因子；η为ω_ij和ω_jk的学习速率，μ是a_j和b_j的学习速率。

进一步地，所述改进的小波神经网络的训练结束条件为：算法达到设定的目标误差精度，或达到最大迭代次数。

一种基于PCA-MF-WNN的网络安全态势要素提取系统，包括处理器和存储器，所述处理器用于处理存储在所述存储器中的指令以实现下述的基于PCA-MF-WNN的网络安全态势要素提取方法的步骤：

对初始数据通过主成分分析法进行降维；

将所述测试集输入所述态势要素提取模型中进行测试；

进一步地，所述小波函数参数包括伸缩因子和平移因子。

本发明的有益效果包括：本发明提供的基于PCA-MF-WNN的网络安全态势要素提取方法中，采用主成分分析法对初始数据进行降维，去除冗余的态势要素，约简属性，在降低数据复杂度的同时尽可能的用少数几个主成分来保留原始数据集的信息；然后，通过加入动量因子的方法来提升小波神经网络的学习效率，将经过主成分分析法降维后的数据输入改进的小波神经网络中进行分类训练，得到态势要素提取模型；由于对小波神经网络的参数进行修正能够提高小波分类器的分类精度与分类效率，因此，在根据态势要素提取模型进行网络安全态势要素提取时，能够提升态势要素提取的分类精度，而且分类效率也得到了很大的提高。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍：

图1是本申请实施例提供的一种基于PCA-MF-WNN的网络安全态势要素提取方法的整体流程示意图；

图2是小波神经网络的拓扑结构图；

图3是态势要素提取模块与其它模块之间的关联示意图；

图4是基于PCA-MF-WNN的态势要素提取模型示意图；

图5是隐含层节点数对态势要素提取分类精确度的影响示意图；

图6是不同模型提取精确度对比图。

具体实施方式

以下描述中，为了说明而不是为了限定，提出了诸如特定系统结构、技术之类的具体细节，以便透彻理解本申请实施例。然而，本领域的技术人员应当清楚，在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中，省略对众所周知的系统、装置、电路以及方法的详细说明，以免不必要的细节妨碍本申请的描述。

应当理解，当在本申请说明书和所附权利要求书中使用时，术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

还应当理解，在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。

如在本申请说明书和所附权利要求书中所使用的那样，术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地，短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。

另外，在本申请说明书和所附权利要求书的描述中，术语“第一”、“第二”、“第三”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

在本申请说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此，在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例，而是意味着“一个或多个但不是所有的实施例”，除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”，除非是以其他方式另外特别强调。

为了说明本申请所述的技术方案，下面通过具体实施方式来进行说明。

如图1所示，本申请实施例提供了一种基于PCA-MF-WNN的网络安全态势要素提取方法，包括如下步骤：

步骤1：对所述初始数据进行预处理，统一数据格式和类型：

本实施例中，可以采用美国林肯实验室的公开数据集KDDCUP99来进行态势要素提取模型的训练。但是由于该数据集中的数据(即初始数据)的类型不完全相同，因此需要先对初始数据进行预处理，统一数据格式和类型，方便后续操作。

应当理解，若初始数据原本就满足后续处理需要，则该步骤1可以省略。

步骤2：对初始数据通过主成分分析法进行降维：

主成分分析法(Principal Component Analysis，PCA)是一种统计分析、简化数据集的方法，常用于数据降维。如何将多维变量变换为低维变量并去除冗余信息以达到降低数据复杂度的目的是主成分分析法要解决的问题。其具体计算步骤如下：

(1)假设数据集X包含n个样本，令X＝[x₁,x₂,…,x_n]，其中每个样本有m维。

(2)计算协方差矩阵R，其中i＝1,2,…,n。

(3)计算特征值和特征向量。

计算协方差矩阵R的特征值λ₁,λ₂,…,λ_n，以及对应的特征向量U＝[u₁,u₂,…,u_n]，并将特征值重新排序使得λ₁≥λ₂≥…≥λ_n。

λ_iu_i＝Ru_i,i＝1,2,…,n (2)

(4)计算特征值中前p(p≤n)个主成分的累计信息贡献率η_p。

特征值λ_i的信息贡献率y_i计算公式如下：

η_p的计算公式如下：

一般情况下，若特征值中前p(p≤n)个主成分的累计信息贡献率η_p达到85％以上，则说明这前p个主成分可以代表全部数据的绝大部分信息。

(5)计算降维结果。

变换矩阵T_p＝(t₁,t₂,…,t_p)'由前p个特征值对应的特征向量组成，降维后的结果为p_i＝T_pX₁。

根据主成分分析法对初始数据进行降维，在保持数据本质信息的同时将多维变量变换到低维空间并去除冗余信息，降低数据复杂度，提高数据处理效率。

步骤3：初始化改进小波神经网络的小波函数参数以及网络连接权值，设置网络学习速率以及动量因子；其中，改进小波神经网络为加入动量因子的小波神经网络；将降维后的数据划分为训练集和测试集，将所述训练集输入到所述改进的小波神经网络中进行训练，计算小波神经网络的网络预测输出，以及网络的预测输出与期望输出之间的误差；根据所述误差，修正所述小波函数参数以及网络连接权值，使网络预测输出不断接近期望输出，直至训练结束，最后得到态势要素提取模型：

小波神经网络(Wavelet Neural Network，WNN)是一种在小波分析研究获得突破的基础上提出的一种人工神经网络。它是基于小波分析理论以及小波变换所构造的一种分层的、多分辨率的新型人工神经网络模型，它的结构更加简单，且具有更强的学习能力。与传统神经网络不同的是，小波神经网络隐含层节点的传递函数为小波基函数，小波分析能够通过小波基函数的变换分析信号的局部特征，并且在二维情况下具有信号方向的选择能力。

小波神经网络一般由三层构成，分别为：输入层、隐含层和输出层。其工作原理是在输入数据经由输入层达到神经网络内部后，先计算出隐含层的输出值，然后根据隐含层的输出值再计算输出层的输出值，最后依照输出层的输出值与期望输出之间的误差来修正小波神经网络的权值和小波基函数系数，使小波神经网络的预测输出值与期望输出值不断接近。小波神经网络的拓扑结构如图2所示。

图2中，X₁,X₂,…,X_k是小波神经网络的输入参数，Y₁,Y₂,…,Y_m是小波神经网络的预测输出，ω_ij和ω_jk分别是小波神经网络输入层与隐含层、隐含层与输出层之间的连接权值。

在输入信号序列为x_i(i＝1,2,…,k)时，隐含层输出计算公式为：

其中，h(j)为隐含层第j个节点输出值，b_j为小波基函数h_j的平移因子，a_j为小波基函数h_j的伸缩因子。

本实施例采用的小波基函数为Morlet母小波基函数，表达式如下：

小波神经网络输出层的计算公式如下：

其中，h(i)为隐含层第i个节点的输出值，l为隐含层节点数，m为输出层节点数。

本实施例中，改进小波神经网络(MF-WNN)为加入动量因子(MF)的小波神经网络。初始化改进小波神经网络的小波函数参数以及网络连接权值ω_ij和ω_jk，设置网络学习速率η和μ以及动量因子δ。本实施例中，小波函数参数包括小波函数伸缩因子a_j和平移因子b_j。其中，ω_ij是小波神经网络输入层与隐含层之间的连接权值，ω_jk是小波神经网络隐含层与输出层之间的连接权值。η为ω_ij和ω_jk的学习速率，μ是a_j和b_j的学习速率。δ∈(0,1)。

将降维后的数据划分为训练集和测试集，将训练集输入到改进的小波神经网络中进行训练，计算小波神经网络的预测输出，以及网络的预测输出与期望输出之间的误差，具体如下：

小波神经网络采用梯度下降法对网络的权值和小波基函数参数进行修正，从而使其预测输出与期望输出不断接近，修正过程如下：

(1)计算网络预测误差，公式如下：

其中，yn(k)为期望输出，y(k)为小波神经网络的预测输出。

(2)根据预测误差error修正小波神经网络权值和小波基函数系数，公式如下：

由于小波神经网络采用梯度下降算法对权值和参数进行修正，但鉴于每轮迭代梯度更新方向随机震荡且期望的梯度更新方向行进缓慢的缺点，本实施例通过增加动量因子来提高神经网络的学习效率，该方法的主要思想是通过积累之前的动量来加速当前的梯度，使得梯度方向在不变的维度上，参数更新变快，梯度有所改变时，更新参数变慢，从而加快算法的收敛速度并且减少梯度下降法的震荡趋势。

根据误差error，修正小波函数参数以及网络连接权值，使网络预测输出不断接近期望输出，改进后小波神经网络的权值和参数修正公式如下：

本实施例中，改进的小波神经网络的训练结束条件为：算法达到设定的目标误差精度，或达到最大迭代次数。训练结束，得到态势要素提取模型(PCA-MF-WNN模型)。

步骤4：将所述测试集输入所述态势要素提取模型中进行测试：

得到态势要素提取模型后，将测试集数据输入态势要素提取模型中进行测试，进行态势要素提取，即把数据提取到不同攻击类别里，检验其分类性能，根据分类结果进行分析与总结。

步骤5：利用测试完成的所述态势要素提取模型在实际环境中进行网络安全态势要素提取：

利用测试完成的态势要素提取模型在实际环境中进行网络安全态势要素提取。

因此，本实施例采用先局部后整体的态势要素提取架构，主要研究态势要素提取层。该模型通过设备收集网络安全数据并传递给态势要素提取层进行处理分析。具体态势要素提取模块与其它模块的关系如图3所示。在态势要素提取层中，会对网络安全设备采集上传的数据先进行预处理，处理过的安全态势数据在经过分类器学习训练后会形成一种学习规则，这种学习规则将被用来指导整个局部分析模块，经过统计和分析形成的数据将被上传至全局分析模块以得到全局态势要素。本实施例利用改进的小波神经网络对主成分分析法降维后的安全数据进行分类训练，在得到相应的分类学习规则后将其下发至局部网络，各局部网络据此获取网络局部安全要素后再将结果汇总到安全监控中心得到整个网络的态势要素。

本实施例引入主成分分析法对预处理后的网络安全数据进行属性约简，并在小波神经网络中加入动量因子来提高其运算效率，最后将改进的小波神经网络应用于网络安全态势要素提取。整个态势要素提取过程分为三部分，具体的提取模型如图4所示。

本实施例中，为了更加清楚的解释本实施例所提出的态势要素提取模型，该算法用伪代码Algorithm 1表示，如表1所示。算法首先对数据集进行预处理(Line 1)，然后使用主成分分析法对数据集进行降维并初始化小波神经网络的相关参数，将处理过的数据划分成训练集和测试集(Line 2～Line 4)，接着，对小波神经网络进行训练(Line 5～Line16)，最后，使用测试数据集和训练好的模型得到预测值(Line 17)。

表1

以下根据对比实验结果分析判断不同态势要素提取模型的分类效果和性能。

一、实验数据预处理：

使用的数据集为KDDCUP99数据集，这是一个用来从正常连接中监测非正常连接的数据集。在该数据集中，每条数据包含41个属性和1个标识类别的值，这41个属性特征可以按以下方式分类：1-9为TCP连接的基本特征；10-22为TCP连接的内容特征；23-31为基于时间的网络流量统计特征；32-41为基于主机的网络流量统计特征。1个标识类别的属性则被分为两大类：正常(Normal)或异常(Attack)，异常类型有四大类：DOS、Probe、U2R、R2L，每大类异常攻击类型又包含若干个子类，具体攻击子类分布情况如表2所示。

表2

KDDCUP99数据集具体样本数据如下所示：

2,tcp,smtp,SF,1684,363,0,0,0,0,0,1,0,0,0,0,0,0,0,0,0,0,1,1,0.00,0.00,0.00,0.00,1.00,0.00,0.00,104,66,0.63,0.03,0.01,0.00,0.00,0.00,0.00,0.00,normal

0,icmp,ecr_i,SF,1032,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,511,511,0,0,0,0,1,0,0,255,255,1,0,1,0,0,0,0,0,smurf

观察上述两条数据可以发现，每条数据信息所包含的数据类型不完全相同，因此在实验前，需要先对数据集进行预处理。

在每条数据的42个属性中，第2、3、4和42维属性为非数值形式，因此在预处理过程中需要将这些离散特征进行数据编码转化。转化规则如下：

第2维：利用数字1～3对tcp、udp和icmp进行编码；

第3维：利用数字1～70对70种服务类型进行编码；

第4维：利用数字1～11对11种连接状态进行编码；

第42维：共有五种状态，用数字1～5进行编码。

针对连续型特征，本实施例采用归一化的方式进行处理，归一化公式如下：

其中，X_min和X_max分别表示实验数据中的最小值数据和最大值数据。X_i为实验数据中第i个数据值，Y_i为X_i归一化后的值。

本实验将随机抽取数据集的10％作为训练集和测试集，数据分布情况如表3所示。

表3

数据集	DoS	Probe	U2R	R2L	Normal
						训练集	391458	4107	52	1126	97278
测试集	229853	4166	228	16189	60593

二、实验分析与比较

(1)参数对性能的影响

由表3可知，U2R类攻击样本的数量较少，且在大多研究中分类精度都较低。为了更好的说明本实施例所提出的改进WNN与PCA算法相结合的方法对小类攻击样本识别的影响，下面将WNN模型与PCA-MF-WNN模型在不同隐含层节点数的情况下对U2R类攻击样本的分类精度进行比较，结果如图5所示。图5中，横坐标表示隐含层节点数，纵坐标表示精确度(％)。

从图5中可以看出，在不同隐含层节点数的情况下，本实施例所提出对WNN模型进行的改进是有效的。与未改进WNN相比，改进后且与PCA算法相结合的WNN模型明显提高了小类样本要素提取的精确度，在隐含层节点为40时，WNN与PCA-MF-WNN模型的分类效果最好。

(2)不同模型要素提取精确度对比与分析

为了更加准确的说明本实施例所提出的态势要素提取模型的有效性，下面对常用于态势要素提取领域的BPNN(反向传播神经网络)模型与PNN(概率神经网络)模型和WNN模型以及改进的WNN模型进行分类精度比较。其中，BPNN的迭代次数为100次，PNN采用四层结构，SPREAD值选取为1.5。实验结果如表4所示。

表4

从表4中可以看出，BPNN模型的五类样本分类精确度均偏低，其中样本分类精确度最低的是U2R类，精确度只有21.49％，这说明BPNN模型在小类攻击样本识别方面能力较差；PNN模型的五类样本分类精确度在五种要素提取模型中处于中间位置，但该模型在R2L类攻击样本的识别度较差，分类精确度只有3.48％，在五种模型中分类精度是最低的；WNN模型的五类样本分类精确度与BPNN模型和PNN模型相比均有所提升，但其Normal类样本的分类精确度比PNN模型低1.5％；使用PCA算法对数据进行降维后，PCA-WNN模型与未改进的三种基本模型相比，五类样本的分类精确度基本都有所提升。

从整体上看，本实施例提出的PCA-MF-WNN态势要素提取模型的分类准确率比WNN模型和PCA-WNN模型均有提高。相较于传统WNN模型与PCA-WNN模型，PCA-MF-WNN模型在DOS类和Normal类攻击样本的分类准确率虽然有所提高但是提升精度较小；在Probe类和R2L类攻击样本的要素提取分类准确率均有一定幅度的提升；在普遍研究中态势要素提取分类精确度最低的U2R小类也分别有13.15％和0.87％的提升，这说明本实施例所提出的模型对小类攻击样本的识别能力有所提升。与BPNN模型和PNN模型相比，本实施例模型在五类样本的要素提取分类精确度都比BPNN高得多，而Normal类样本的分类精度虽然略低于PNN模型，但基本持平。

综上，说明本实施例所提出的基于PCA-MF-WNN的态势要素提取模型用于提高样本的分类精确度是有效的。为进一步证明基于PCA-MF-WNN的态势要素提取模型的优越性，下面采用总体分类准确率与错误率两个评价指标对五种不同模型的总体分类情况进行对比，结果如表5所示。

表5

指标	BPNN	PNN	WNN	PCA-WNN	PCA-MF-WNN
						准确率	72.06	83.88	97.72	98.99	99.67
错误率	27.94	16.12	2.28	1.01	0.33

就整体准确率而言，PCA-MF-WNN模型与PCA-WNN模型相比提高了0.68％，PCA-WNN模型与WNN模型相比提高了1.27％，这分别说明了在小波神经网络中增加动量因子和利用主成分分析法对数据进行降维处理对提高态势要素提取的分类精度是有效的。PCA-MF-WNN模型与WNN模型相比，分类准确率提高了1.95％，更是说明了PCA算法与改进小波神经网络相结合对提高态势要素提取分类精度有一定的作用。与BPNN模型和PNN模型相比，WNN模型的分类准确度分别高出25.06％和13.84％。就错误率指标来看，本实施例所提出的PCA-MF-WNN模型总体的分类错误率是五种算法中最小的。

为了更直观的展示不同模型的分类结果，这里用折线图将表5中的数据展示出来，如图6所示。图6中，横坐标表示模型，纵坐标表示总获取精度(％)。

观察图6可以看出，PCA-MF-WNN模型的准确率最高且错误率最低，对WNN的每一次改进都提高了分类准确率，而且均比BPNN与PNN模型的分类准确率高。综上，本实施例所提出的基于PCA-MF-WNN的态势要素提取模型提高了态势要素提取的分类精度。

(3)时间复杂度比较与分析

算法时间复杂度的高低是算法性能的一种体现。在本实施例实验中，用于实验的态势要素样本数为n，样本维度为d，标签类别数为l，算法的迭代次数为t。BPNN、PNN与WNN的算法时间复杂度对比如表6所示。从表6中可以发现WNN相较于BPNN和PNN的算法时间复杂度更低。

表6

算法	时间复杂度
		BPNN	O(n×t×d×l²)
PNN	O((n+1)×d)
		WNN	O(n)

为了进一步分析本实施例方案的时间复杂度，下面将本实验对WNN的两种改进状态用于提取态势要素所用的时间进行对比。具体对比情况如表7所示。

表7

算法	执行时间/s
		WNN	2447
PCA-WNN	1000
		PCA-MF-WNN	882

从表6和表7中可以直观看出，本实施例所提出的用主成分分析法对数据进行降维后再用加入动量因子改进WNN(PCA-MF-WNN)进行态势要素提取所用的时间与只用PCA降维数据但不改进WNN(PCA-WNN)和未改进的WNN相比有明显的减少。因此本章所提出的PCA-MF-WNN模型在执行效率方面具有明显优势，显著提高了态势要素提取的分类效率。

因此，本实施例构建了一种基于PCA-MF-WNN的网络安全态势要素提取模型，该模型将主成分分析法引入态势要素提取中，对经过预处理后的KDDCUP99数据集进行降维，用尽可能少量的数据表示原始数据集的信息，然后用增加动量因子δ的方法对小波神经网络中的小波函数伸缩因子a_j、平移因子b_j以及网络连接权值ω_ij和ω_jk进行修正，获取到最优参数，以达到提升小波分类器的分类精准度和分类效率的目的。实验结果表明，本实施例所提模型与传统态势要素提取模型和未改进的WNN相比，有效提高了态势要素提取的分类准确率和分类效率。

对应于上文实施例所述的一种基于PCA-MF-WNN的网络安全态势要素提取方法，本实施例还提供了一种基于PCA-MF-WNN的网络安全态势要素提取系统，包括处理器和存储器，处理器用于处理存储在存储器中的指令以实现该基于PCA-MF-WNN的网络安全态势要素提取方法的步骤，由于上文实施例对该基于PCA-MF-WNN的网络安全态势要素提取方法的实现过程进行了详细地描述，不再赘述。

以上所述实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围，均应包含在本申请的保护范围之内。

Claims

1.一种基于PCA-MF-WNN的网络安全态势要素提取方法，其特征在于，包括：

对初始数据通过主成分分析法进行降维；

将所述测试集输入所述态势要素提取模型中进行测试；

利用测试完成的所述态势要素提取模型在实际环境中进行网络安全态势要素提取；

所述小波函数参数包括伸缩因子和平移因子；

所述根据所述误差，修正所述小波函数参数以及网络连接权值，包括：采用如下计算公式修正所述小波函数参数以及网络连接权值：

2.根据权利要求1所述的基于PCA-MF-WNN的网络安全态势要素提取方法，其特征在于，所述对初始数据通过主成分分析法进行降维之前，所述网络安全态势要素提取方法还包括：对所述初始数据进行预处理，统一数据格式和类型。

3.根据权利要求1所述的基于PCA-MF-WNN的网络安全态势要素提取方法，其特征在于，所述改进的小波神经网络的训练结束条件为：算法达到设定的目标误差精度，或达到最大迭代次数。

4.一种基于PCA-MF-WNN的网络安全态势要素提取系统，其特征在于，包括处理器和存储器，所述处理器用于处理存储在所述存储器中的指令以实现下述的基于PCA-MF-WNN的网络安全态势要素提取方法的步骤：

对初始数据通过主成分分析法进行降维；

将所述测试集输入所述态势要素提取模型中进行测试；

所述小波函数参数包括伸缩因子和平移因子；

5.根据权利要求4所述的基于PCA-MF-WNN的网络安全态势要素提取系统，其特征在于，所述对初始数据通过主成分分析法进行降维之前，所述网络安全态势要素提取方法还包括：对所述初始数据进行预处理，统一数据格式和类型。

6.根据权利要求4所述的基于PCA-MF-WNN的网络安全态势要素提取系统，其特征在于，所述改进的小波神经网络的训练结束条件为：算法达到设定的目标误差精度，或达到最大迭代次数。