[发明专利]基于集成分类器的网络安全态势评估方法

权利要求书

1.一种基于集成分类器的网络安全态势评估方法，其特征在于，包括：

采集网络安全态势评估数据；

进行数据预处理和维度选取；

数据预处理和维度选取后的数据按照ID3分类器进行评估分类；

ID3分类器进行评估分类后的结果按照朴素贝叶斯分类器进行评估分类；

加权计算网络安全态势评估分数，对每个网络样本的三个渠道的评估分类进行加权，以得到每个网络样本最后的安全评估分数。

2.如权利要求1所述的基于集成分类器的网络安全态势评估方法，其特征在于，维度选取包括：

选定训练集记为A，A中数据量为n，选取m个组件进行安全评估，评估维度数为s＝s₁+s₂+s₃，其中S₁为配置数据的维度数，S₂为运行数据的维度数，S₃为入侵数据的维度数；

将网络样本集A划分为A₁、A₂、A₃，其中A₁表示配置数据集，有s₁个维度，A₂表示运行数据集，有s₂个维度，A₃表示入侵检测数据，有s₃个维度，对组件和网络样本安全分3个渠道进行评估分类。

3.如权利要求1所述的基于集成分类器的网络安全态势评估方法，其特征在于，采集网络安全态势评估数据通过通过专业检测系统获取。

4.如权利要求1所述的基于集成分类器的网络安全态势评估方法，其特征在于，进行数据预处理包括：异常值处理、数据离散化和标准化处理、缺失值处理以及相关性处理。

5.如权利要求4所述的基于集成分类器的网络安全态势评估方法，其特征在于，进行异常值处理，包括：

将数据由大到小排列，计算其上四分位数Q3,中位数，下四分位数Q1,进一步计算异常值上下界限：Q3+3IQR(四分位距)，A1-3IQR,在界限以外的值定义为极端异常值；

对于检测到的异常值，采用数值修正和删除数据两种方法进行处理。

6.如权利要求4所述的基于集成分类器的网络安全态势评估方法，其特征在于，进行数据离散化和标准化处理包括：

第一步：将网络安全态势评估数据的非数值型数据按设定规则，转换为数值1-10；

第二步：使用属性构造法，使网络安全态势评估数据的所有维度数值与网络安全性呈正相关，转化为数值1-10。

7.如权利要求4所述的基于集成分类器的网络安全态势评估方法，其特征在于，进行缺失值处理步骤包括：

对于网络安全态势评估数据的缺失数据，采用数据插补和删除数据两种手段，根据缺失值的实际意义选择处理方法。

8.如权利要求4所述的基于集成分类器的网络安全态势评估方法，其特征在于，进行相关性处理是通过SPSS或Python进行相关性处理。

9.如权利要求1所述的基于集成分类器的网络安全态势评估方法，其特征在于，数据预处理和维度选取后的数据按照ID3分类器进行评估分类包括：将网络样本集A₁、A₂、A₃按组件进一步划分，得到A_i,j，i＝1,2,3；j＝1,2,…,m；

类别集：B＝{1,2,3,4,5},1-5对应的实际意义为：安全性低、中低、中、中高、高。

10.如权利要求1所述的基于集成分类器的网络安全态势评估方法，其特征在于，ID3分类器进行评估分类后的结果按照朴素贝叶斯分类器进行评估分类包括：

第一步：确定网络样本集C＝{C₁,C₂,...,C_m}，包含m个条件属性，即m个组件，每个元素记为c，c＝(c₁,c₂,...,c_m)；

第二步：类别集合H＝{1,2,3,4,5}，每个元素记为h_k(1≤k≤5)；

第三步：当且仅当P(h_k|c)＞P(h_j|c),1≤k,j≤m,j≠k，将给定的网络样本c＝(c₁,c₂,...,c_m)分配到类h_k，P为概率值；

根据贝叶斯定理，有因为P(c)对于所有的类别均为常数，故只需最大化P(h_k)P(c|h_k)，又有

其中，

n_k是类h_k在训练样本集中的实例数，n是训练样本总数；

P(c_i|h_k)＝n_ki/n_k，n_ki是属性c_i上分类为h_k的网络样本数量。