(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210480083.3 (22)申请日 2022.05.05 (71)申请人 南京邮电大 学 地址 210009 江苏省南京市 鼓楼区新模范 马路66号 (72)发明人 程家根　祁正华　 (74)专利代理 机构 南京经纬专利商标代理有限 公司 32200 专利代理师 彭英 (51)Int.Cl. G06V 10/762(2022.01) G06V 10/764(2022.01) G06V 10/774(2022.01) G06N 3/00(2006.01) H04L 9/40(2022.01) (54)发明名称 一种基于改进的支持向量机的网络安全态 势评估方法 (57)摘要 本发明公开了一种基于改进的支持向量机 的网络安全态势评估 方法， 网络安全态势评估是 将当前网络的态势要素进行提取， 根据这些态势 要素对当前网络进行综合评估并划分态势等级。 首先构建网络安全态势指标体系， 根据指标体系 中的二级指标提取态势要素 组成特征向量， 然后 采用基于AFSA优 化的TWSVM多模型对 其进行分类 评估， 获取当前网络的态势等级， 本发明能够有 效的提高分类速度和网络安全态势评估的准确 率。 权利要求书4页 说明书9页 附图4页 CN 114581694 A 2022.06.03 CN 114581694 A 1.一种基于改进的支持向量机的网络安全态 势评估方法， 其特 征在于， 包括以下步骤： 步骤1） ， 训练阶段： 获取过去时间段的网络安全态势要素， 并计算出相应的态势值， 按 照网络安全态势等级对照表划分态势等级， 完成训练集的构建； 对训练数据集采用 聚类算法进行聚类， 通过计算每个样本对象的密度， 根据每个样本对象的密度得 到初始聚类中心， 进而得到聚类中心， 选取聚类中心对应的样 本标记为+1类， 其余样 本标记 为‑1类， 作为输入样本； 通过输入样本训练基于AFSA优化的TWSVM多分类模型， 如果基于 AFSA优化的TWSVM多分类模型的分类数大于 聚类算法的聚类数， 则采用 聚类算法进行重新聚类； 如果基于AFSA优化的TWSVM多分类模型的分类数小于等于 聚类算法的聚类数， 则完成对基于AFSA优化的TWSVM多分类模型的训练， 得到训练 好的基于AFSA优化的TWSVM多分类模型； 步骤2， 测试阶段： 对待评估的网络安全态势数据集， 使用训练好的基于AFSA优化的 TWSVM多分类模型进行评估。 2.根据权利要求1所述基于改进的支持向量机的网络安全态势评估方法， 其特征在于， 步骤1） 中完成训练集的构建的方法包括以下步骤： 步骤1.1)， 对网络空间中设备 数据以及网络数据进行采集； 步骤1.2)  ， 根据网络安全态势指标体系中的二级指标从采集的设备数据以及网络数 据中提取态势要素作为样本特征向量， 并做归一化处理， 得到样本以及归一化的样本特征 向量； 步骤1.3)， 通过步骤1.2） 得到了样本以及归一化的样本特征向量， 根据每个归一化的 样本特征向量评估当前样本的态势 值， 并根据网络安全态势 等级对照表划分对应的态势 等 级作为样 本的label值； 将 每个样本的特征向量以及 对应的label值作为训练数据集写入到 文本文件中； 网络安全态势 等级对照表包括态势 等级和态势 值范围， 态势等级包括安全、 轻 度危险、 一般危险、 中度危险、 高度危险， 态势等级为 “安全”的态势值范围为0.00～0.20， 态 势等级为“轻度危险 ”的态势值范围为0.21～0.40， 态势等级为 “一般危险 ”的态势值范围为 0.41～0.60， 态势等级为 “中度危险 ”的态势值范 围为0.61～0.80， 态势等级为 “高度危险 ” 的态势值范围为0.81～1.0 0； 步骤1.4)， 将训练数据集中每个归一化的样本特征向量作为输入向量， 并将样本中态 势等级“安全”标记为1， 态势等级 “轻度危险 ”标记为2， 态势等级 “一般危险 ”标记为3， 态势 等级“中度危险 ”标记为4， 态势等级“高度危险 ”标记为5。 3.根据权利要求2所述基于改进的支持向量机的网络安全态势评估方法， 其特征在于， 对训练数据集采用 聚类算法进行聚类的方法包括以下步骤： 步骤1.10)， 对训练数据集采用 聚类算法进行聚类， 首先计算每个样本对象的 密度 ， 给定一个常数 ,计算一个样本对象到其他样本对象距离， 选取最小的 个样本距离 之和， 并计算 其平均数， 当 值越小时， 表示该样本对象的密度越高； 其中， 和 表示样本号， ， 为样本数量， 为样本的特征维数， 表示 第 个样本第 维属性的样本特 征， 表示第 个样本第 维属性的样本特 征；权　利　要　求　书 1/4 页 2 CN 114581694 A 2步骤1.11)， 选取对应密度 值最小的样本作为第一个初 始聚类中心 ， 计算其它样本到 初始聚类中心加权距离 最大的样本点作为下一个样本初始聚类中心； 首先， 计算数据 集中每个特征维度的加权系数 ， 然后计算加权距离值 ； 其中， 为当前的特 征维度， ， 为所有样本第 维属性的平均值； 步骤1.12)  ， 完成5个初始聚类中心的选取， 采用欧式距离公式计算样本距离， 开始聚 类过程， 直到聚类中心没有发生变化， 获取五个等级类别的聚类中心 ； 步骤1.13)  ， 分别计算每个聚类中心到其它聚类中心的距离之和， 并将得到的值进行 排序， 将和 为最大值所属的类别放至第一位并将其聚类中心记为 ， 此时剩余4个类别， 再 计算下一个聚类中心 到剩余聚类中心的距 离之和， 排序后取最大值并记为 ， 以此类推， 直 到所有获取5个重新 排序的聚类中心后结束， 其 顺序记为 ； 步骤1.14)  ， 选取聚类中心 对应的样本标记为+1类， 其余样本标记为 ‑1类， 作为输入 样本， 。 4.根据权利要求3所述基于改进的支持向量机的网络安全态势评估方法， 其特征在于， 步骤1中通过输入样本训练基于AFSA优化的TWSVM多分类模型的方法， 包括以下步骤： 步骤1.20)  ， 开始训练第 个基于AFSA优化的TWSVM分类模型； 步骤1.21)，  初始化参数， 人工鱼种群规模 ， 最大迭代次数 ， 视野 ， 步长 ， 拥挤度因子 ， 觅食最大 尝试次数 ， TWSVM参数的上下限取值， 选取高斯核函数 作 为TWSVM的核函数； 步骤1.22)  ， 初始化人工鱼， 将每条人工鱼设置为TWSVM的待优化参数组合 ， 根 据TWSVM参数的上 下限取值， 随机初始化人工鱼； 步骤1.23)，  计算初始鱼群的食物浓度， 将策略 作为决策函数， 并以TWSVM的分类准 确率作为优化的目标函数 ， 即为鱼群的食物浓度， 计算每条人工鱼所在位置的食物浓度， 并保存当前最优的食物浓度值对应的人工鱼参数组合 ； 步骤1.24)  ， 执行人工鱼行为操作， 每条人工鱼开始执行觅食行为、 聚群行为和追尾行 为， 计算下一步移动地点 ， 并以食物浓度值最大化行为作为准则， 选择食物浓度值最 大的行为执 行， 如果行为 缺失， 则执 行随机行为； 步骤1.23)  ， 更新最优食物浓度值， 当鱼群中所有人工鱼都执行完以此行为后， 开始计 算当前鱼群中最大 的食物浓度值 ， 与已保存的最大食物浓度值 进行比较， 则 将 替换为 ， 即 ， 并保存对用的人工鱼参数组合， 否则 保持不变； 步骤1.24)  ， 判断是否满足终止条件， 如果当前迭代次数 大于 ， 则停止算法， 输出 以及对应的参数组合， 转步骤1.25） ， 否则， 增加迭代次数 ， 对视野 以及步 长 进行更新， 并跳转至步骤1.2 2） ； 步骤1.25)， 判断当前是否完成所有分类器模型的训练， 即将 判断此时 值是否大于 5， 表示分类数， 如果成立， 表示五个分类器均训练完成， 否则采用 聚类算法进行权　利　要　求　书 2/4 页 3 CN 114581694 A 3