CN102098180A - 一种网络安全态势感知方法 - Google Patents

Abstract

本发明公开了信息安全技术领域中的一种网络安全态势感知方法。包括从安全防护软件和/或硬件中采集数据，对数据进行预处理，并将预处理后的数据作为数据样本；利用流形学习对数据样本进行特征提取和降维，得到数据样本的输出值；利用核匹配集成聚类算法对数据样本的输出值进行聚类；采用DS证据推理对聚类后的结果进行融合；采用层次模型，评估网络安全态势和威胁；利用历史数据和当前网络安全态势，预测未来设定时长内的网络安全态势；根据设定阈值，判定网络安全是否受到威胁。本发明提高了网络安全态势感知的实时性和准确性。

Description

一种网络安全态势感知方法

技术领域

本发明属于信息安全技术领域，尤其涉及一种网络安全态势感知方法。

背景技术

网络已深入现代生活的各个方面，但是人们备受关注的网络安全却存在着巨大的隐患。传统的网络防御手段如：防火墙、防病毒软件、入侵监测系统(IDS)等都是被动的网络防御，这已满足不了目前人们对网络安全的要求。网络安全态势感知是一种主动的网络防御手段，它不仅能够反应当前网络安全态势，并且能够对网络中潜在的攻击做出预测，从而对潜在攻击做出主动防御。网络安全态势感知是从防火墙、安全审计、防病毒软件等软硬件中获取到大量的日志数据，在对数据处理的基础上，对整个网络的当前状况进行及时评估和反映，并对未来的变化趋势进行预测。由于从防火墙、安全审计、防病毒软件所获取的数据量相当庞大，这严重制约着网络安全态势评估和预测的实时性。因此，如何能够实时而准确的反映当前网络安全态势，通过可视化技术将整个网络安全态势显示出来，并利用智能学习算法对未来网络安全态势进行预测成为网络安全态势感知的主要研究方向。网络安全态势感知的研究过程主要包括以下六个步骤：数据的预处理、事件关联目标识别、态势和威胁评估、响应与预警、态势可视化显示以及网络安全态势预测。

网络安全态势感知的基本处理流程如下：首先从防火墙、安全审计、防病毒软件等软硬件中获取的数据进行去噪、统一格式；然后将数据进行关联以及目标识别，数据间的关联和识别越准确，越能促进准确反映网络的整体安全状况；在数据关联以及目标识别的基础上，对网络安全态势和威胁做出评估，然后根据威胁的程度和种类，在确定预警阈值的基础上做出响应，并给出威胁的相应解决措施，以及基于网络安全态势评估、威胁评估和响应与预警形成网络安全态势可视化图，利用历史数据和当前网络安全态势值，预测未来一段时间内的网络安全态势，以供决策者做出正确决策。由网络安全态势处理的基本流程可知，要得到更好的网络安全态势感知效果，主要要解决四个方面的问题：第一是研究怎样能从海量数据中挖掘出有用的特征数据，不仅反映数据的基本信息，同时也减少处理数据的维数，从而提高网络安全态势感知的实时性；第二是研究如何提高数据的融合效果，减少冗余信息；第三是研究怎样使网络安全态势评估和威胁评估更加合理、有效；第四是研究怎样建立准确的网络安全态势预测模型。

发明内容

本发明的目的在于，针对目前网络安全态势感知过程中存在的问题，提出一种网络安全态势感知方法，用以提高网络安全态势感知的实时性和准确性。

技术方案是，一种网络安全态势感知方法，其特征是所述方法包括下列步骤：

步骤1：从安全防护软件和/或硬件中采集数据，对数据进行预处理，并将预处理后的数据作为数据样本；

步骤2：利用流形学习对数据样本进行特征提取和降维，得到数据样本的输出值；

步骤3：利用核匹配集成聚类算法对数据样本的输出值进行聚类；

步骤4：采用DS证据推理对聚类后的结果进行融合；

步骤5：采用层次模型，评估网络安全态势和威胁；

步骤6：利用历史数据和当前网络安全态势，预测未来设定时长内的网络安全态势；

步骤7：根据设定阈值，判定网络安全是否受到威胁；当态势值大于设定阈值时，则判定网络安全受到威胁。

所述利用流形学习对数据样本进行特征提取和降维具体包括：

步骤201：设定数值k，利用公式

计算每个数据样本的k个近邻点；其中，M(i)，M(j)分别表示数据样本y_i，y_j和其他数据样本之间的平均值，i＝1，2，...，n，j＝1，2，...，n；

步骤202：利用公式

根据每个数据样本的近邻点计算出该数据样本的局部重建权值矩阵；其中，

是x_i与x_ij之间的权值，且要满足条件：

Qⁱ是一个局部协方差矩阵，且

x_ij(j＝1，2，...，k)为x_i的k个近邻点；

步骤203：由该数据样本的局部重建权值矩阵和其近邻点计算出该数据样本的输出值；计算公式为：

$\min \mathrm{\ϵ}\left(Y\right)=\underset{i=1}{\overset{N}{\mathrm{\Σ}}}{|y_i-\underset{j=1}{\overset{k}{\mathrm{\Σ}}}{{w^i}_{j}y}_{\mathrm{ij}}|}^2$

定义误差函数为

ε(Y)为损失函数值，y_i是x_i的输出向量，y_ij(j＝1，2，...，k)是y_i的k个近邻点，且要满足

I为一个k×k阶的单位矩阵。

所述利用核匹配集成聚类算法对数据样本的输出值进行聚类具体包括：

步骤301：采用重采样技术对数据样本的输出值进行抽样，得到K个不相同的样本序列x_i＝{a₁，a₂，...，a_n}，i＝1，2，...，K，并重复K次；

步骤302：利用每次所得的K个样本序列训练1个核匹配聚类器，最终得到K个聚类结果不同的核匹配聚类器；

步骤303：对所得到的K个聚类器赋予相同的权重，则其权重为：

i＝1，2，...，K；

步骤304：利用聚类算法的误差函数

评判聚类效果，之后根据聚类效果，对K个聚类器的权重进行优化；其中d_j表示第j个数据样本的期望输出，f_ij表示第i个分类器在第j个数据样本上的实际输出，

步骤305：对优化后的权重归一化处理，使权重落于[0，1]之间，其归一化后的权重为：

其中，m_i为优化后的第i个聚类器的权重，i＝1，2，...，K，m_i′表示归一化后第i个聚类器的权重；

步骤306：将步骤2中的数据样本的输出值分别作用于各个聚类器，对其进行聚类，聚类函数为f_i(x)，其中sgn是指示函数，a_i是系数，K(·，x_k)是核函数。

步骤307：利用公式

将K个聚类器的聚类结果按照权重进行融合；其中，{x_k|k＝1，...，n}∈{x₁，...，x_n}为支撑点，K(·，x_k)为核函数，

所述采用DS证据推理对聚类后的结果进行融合具体包括：

步骤401：将各个聚类后的结果作为证据，计算每个证据的基本概率赋值函数、似然函数和信任函数；

步骤402：再利用DS证据组合规则，计算所有证据在联合作用下的基本概率赋值函数、似然函数和信任度函数；

步骤403：最后根据预设的决策规则，提取出态势要素。

所述步骤5包括：

步骤501：对网络进行分级，确定各个网络级别的指标参数；

步骤502：计算各个网络级别的网络安全态势值和威胁指数；

步骤503：计算整体网络安全态势值和威胁指数。

所述步骤6包括：

步骤61：对历史数据进行处理，形成多组时间态势序列组；

步骤62：利用处理后的数据序列组对预测模型进行训练；

步骤63：利用历史数据和当前网络安全态势，预测未来一段时间内的网络安全态势。

本发明通过建立网络安全态势预测模型，预测未来网络安全态势，提高了网络安全态势感知的实时性和准确性。

附图说明

图1是网络安全态势感知方法流程图。

具体实施方式

下面结合附图，对优选实施例作详细说明。应该强调的是，下述说明仅仅是示例性的，而不是为了限制本发明的范围及其应用。

图1是网络安全态势感知方法流程图，图1中，本发明提供的网络安全态势感知方法包括下列步骤：

步骤1：从安全防护软件和/或硬件中采集数据，对数据进行预处理，并将预处理后的数据作为数据样本。

安全防护软件和硬件包括防火墙、防病毒软件以及入侵检测系统等。从防火墙中采集的数据包括：访问日志记录、非法访问信息和攻击信息，构成形如：{信息的源地址，目的地址，访问服务类型，访问频率，访问流量，攻击类型}格式的数据。从防病毒软件采集的数据主要是病毒信息，其格式为：{病毒种类，访问流量，病毒特征}。从入侵检测系统采集的数据是TCP包和攻击信息，构成形如：{信息的源地址，目的地址，访问服务类型，访问频率，访问流量，攻击类型}格式的数据。

对数据进行预处理就是对上述数据进行去噪、统一数据格式和组成数据序列处理。

由于设备异常或者检测工具自身的不完备，会造成异常数据的产生，如设备将正常访问误认为是非法访问。这些散点属于坏点数据，需要对其进行修正。对数据进行去噪，就是对这些数据根据经验设定区间范围，利用数据平滑的方法将这些异常数据剔除、修正。

统一数据格式，就是将采集出来的数据按一致的格式进行转化和统一，便于存储和后续工作的使用。例如防火墙中提取的数据格式为：{信息的源地址，目的地址，访问服务类型，访问频率，访问流量，攻击类型}，将攻击类型分为(1)拒绝服务攻击；(2)远端未经授权的访问；(3)未经授权的提升权限；(4)探测。根据攻击的危害程度，将每一种设备采集到的数据攻击类型进行量化，形成{信息的源地址，目的地址，访问服务类型，访问频率，访问流量，攻击类型，危害程度}；从防病毒软件采集到的数据是将病毒类型进行量化，形成{病毒种类，访问流量，病毒特征，危害程度}等。

组成数据序列就是，将经过上述去噪和统一数据格式处理后的数据，按照每种安全防护软件和/或硬件发生时间的先后顺序构成不同的数据序列。例如：防火墙采集的数据格式为{信息的源地址，目的地址，访问服务类型，访问频率，访问流量，攻击类型}，再加上时间顺序构成{时间，信息的源地址，目的地址，访问服务类型，访问频率，访问流量，攻击类型}的数据序列。一个数据序列就是一个数据样本。

步骤2：利用流形学习对数据样本进行特征提取和降维，得到数据样本的输出值。

具体过程包括：

步骤201：设定数值k，利用公式

计算每个数据样本的k个近邻点；其中，M(i)，M(j)分别表示数据样本y_i，y_j和其他数据样本之间的平均值，i＝1，2，...，n，j＝1，2，...，n，n为数据样本的个数。

步骤202：利用公式

根据每个数据样本的近邻点计算出该数据样本的局部重建权值矩阵；其中，

是x_i与x_ij之间的权值，且要满足条件：Qⁱ是一个局部协方差矩阵，且

x_ij(j＝1，2，...，k)为x_i的k个近邻点。其中，x_i是样本点，则x_ij(j＝1，2，...，k)是样本点x_i的第j个近邻点。

步骤203：由该数据样本的局部重建权值矩阵和其近邻点计算出该数据样本的输出值；计算公式为：

定义误差函数为ε(Y)为损失函数值，y_i是x_i的输出向量，y_ij(j＝1，2，...，k)是y_i的k个近邻点，且要满足

I为一个k×k阶的单位矩阵。

步骤3：利用核匹配集成聚类算法对数据样本的输出值进行聚类。

利用核匹配集成聚类算法对数据样本的输出值进行聚类具体包括：

步骤301：采用重采样技术对数据样本的输出值进行抽样，得到K个不相同的样本序列x_i＝{a₁，a₂，...，a_n}，i＝1，2，...，K，并重复K次。

这里，x_i是从数据样本的输出值中抽取的n个值组成的一个新的样本序列，i＝1，2，...，K，每一个新的样本序列中包含n个样本点，新的样本序列共有K个。

步骤302：利用每次所得的K个样本序列训练1个核匹配聚类器，最终得到K个聚类结果不同的核匹配聚类器。

步骤303：对所得到的K个聚类器赋予相同的权重，则其权重为：

i＝1，2，...，K。

步骤304：利用聚类算法的误差函数

评判聚类效果，之后根据聚类效果，对K个聚类器的权重进行优化；其中d_j表示第j个数据样本的期望输出，f_ij表示第i个分类器在第j个数据样本上的实际输出，

根据聚类效果，对K个聚类器的权重进行优化，就是将聚类效果就越好的聚类器的权重赋予越大的权重。比如，在初始时，将每个聚类器权重设置为相同的数值(步骤303)，并且令多个聚类器权重之和为1。利用误差函数判定哪个聚类器聚类效果更好，将聚类效果好的聚类器的权重加大，超过初始设置的权重，将聚类效果差的权重减少，但是此刻所有聚类器权重之和仍然为1。

步骤305：对优化后的权重归一化处理，使权重落于[0，1]之间，其归一化后的权重为：

其中，m_i为优化后的第i个聚类器的权重，i＝1，2，...，K，m_i′表示归一化后第i个聚类器的权重。

步骤306：将步骤2中的数据样本的输出值分别作用于各个聚类器，对其进行聚类，聚类函数为f_i(x)，

其中sgn是指示函数，a_i是系数，K(·，x_k)是核函数。

步骤307：利用公式

将K个聚类器的聚类结果按照权重进行融合；其中，{x_k|k＝1，...，n}∈{x₁，...，x_n}为支撑点，K(·，x_k)为核函数，

步骤4：采用DS证据推理对聚类后的结果进行融合。

步骤3将相似度高的数据归为一类，所以聚类后形成的是一个数值序列，例如形成的数值序列包括1，0，-1，则根据数值序列可以将数据分为三类。

采用DS证据推理对聚类后的结果进行融合具体包括：

步骤401：将各个聚类后的结果作为证据，计算每个证据的基本概率赋值函数、似然函数和信任函数。

步骤402：再利用DS证据组合规则，计算所有证据在联合作用下的基本概率赋值函数、似然函数和信任度函数。

DS证据推理是一种重要的不确定性推理方法，其组合规则是利用函数计算两个证据之间的相关程度，如果两个证据之间的函数相关程度低，说明这两个数据之间的联系不紧密，就不能组合形成新的证据；如果两个证据之间的关联度很高，则两个证据可以组合，形成新的证据。

步骤403：最后根据预设的决策规则，提取出态势要素。

决策规则是表示在融合结论中最可能的命题，即其基本概率赋值满足什么情况才可以进行融合的规则。例如：(1)最可能的命题基本概率赋值大于0.5；(2)最可能的命题比其他不可能的命题基本概率赋值不小于0.2；只要满足这些规则之一都可以进行数据融合。决策规则是根据实际情况预先设定的。

当满足选取的决策规则时，选择联合作用下支持度最大的假设，从而得出数据间的内在关系，提取出态势要素。“最大的假设”：是支持度最大的一种假设，其中支持度是基元属性对整个事件的支持程度，支持度越高，其信任度越高。态势要素包括：整个网络中设备所采集到的服务中出现的事件类型的集合，某时刻的网络流量，攻击和病毒的危害严重程度。

步骤5：采用层次模型，评估网络安全态势和威胁。

步骤501：对网络进行分级，确定各个网络级别的指标参数。将网络分为服务级、主机级(节点级)和网络系统级。

步骤502：计算各个网络级别的网络安全态势值和威胁指数。

定义服务网络安全态势函数为：

$R_S=\underset{i\∈S_E}{\mathrm{\Σ}}{D}_i\frac{F_i}{\underset{i\∈S_E}{\mathrm{\Σ}}{F}_i}$

其中，R_S为服务级网络安全态势值，S_E为该服务中出现的事件类型的集合，F_i为流量，D_i为危害严重程度。

定义节点网络安全态势函数为：

$R_N=\underset{i=0}{\overset{65535}{\mathrm{\Σ}}}{R}_{S_i}\frac{F_i}{\underset{i=0}{\overset{65535}{\mathrm{\Σ}}}{F}_i}$

其中，R_N为节点级网络安全态势值，

为服务级网络安全态势值，F_i为服务对应的流量。

定义网络级网络安全态势函数为：

$R_G=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{R}_{N_i}\frac{F_i}{\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{F}_i}$

其中，R_G为整体网络级网络安全态势值，为节点级网络安全态势值，F_i为节点对应的流量，n表示该网络的节点数。

定义t时刻服务S_j的威胁指数为：

$R_{S_j}\left(t\right)={\stackrel{\‾}{C}}_j\left(t\right)g10^{{\stackrel{\‾}{C}}_j\left(t\right)}$

其中，

分别为t时刻攻击威胁严重程度和发生次数向量。

定义在时刻t主机H_k的威胁指数为：

其中，

为t时刻主机H_k的服务安全威胁向量，V为服务在主机开通的所有服务中所占权重向量，其元素取值根据主机提供服务的重要性来确定。

定义在时刻t网络系统的威胁指数为：

其中，为t时刻网络系统内主机的安全威胁向量；

为主机在被评估局域网中所占重要性的权重向量。

步骤503：计算整体网络安全态势值和威胁指数。

计算出各个等级的网络安全态势值，根据其对网络安全态势重要性的不同程度，设定服务级网络安全态势值权重为ω_S、节点级网络安全态势值为ω_N、整体网络级网络安全态势值为ω_G，其中ω_G+ω_N+ω_S＝1，所以整体网络安全态势值为：

R_T＝ω_GgR_G+ω_NgR_N+ω_SgR_S

不同层次中的威胁指数，对整个网络安全态势的总体威胁评价所起决定作用是不相同的，根据网络中的指标和具体情况，为不同层次的威胁指数确定权值，服务威胁指数权值为ω_s，主机威胁指数权值为ω_H和网络系统威胁指数权值为ω_L，并且ω_s+ω_H+ω_L＝1。所以可以得出网络的整体威胁指数R_T为：

$R_T={\mathrm{\ω}}_{s}g{R}_{S_j}\left(t\right)+{\mathrm{\ω}}_{H}g{R}_{H_k}+{\mathrm{\ω}}_{L}g{R}_L\left(t\right)$

步骤6：利用历史数据和当前网络安全态势，预测未来设定时长内的网络安全态势。

步骤61：对历史数据进行处理，形成多组时间态势序列组。

对历史数据进行处理，将历史态势值和时间序列对应起来。取每间隔10分钟为一态势序列，形成时间态势值序列x_k，k＝1，2，...，n。

将历史态势值和时间序列对应起来具体利用回归核匹配学习机：

其中{x_k|k＝1，...，n}∈{x₁，...，x_n}为支撑点，K(·，x_k)为核函数，

定义损失函数为：||R_N||²＝||y-f_N||²，其中R_N为残差，y＝{y₁，...，y_n}，f_N为对数据{y₁，...，y_n}的匹配追踪逼近。正交投影

将回归函数对应成与时间相关的函数

利用回归核匹配学习机学习样本之间的关系，得到预测模型，然后预测未来态势值。态势值是关于时间的函数，要对态势进行预测，必须将回归函数对应成与时间相关的函数，这样就能对未来下一个时间点的态势值进行预测。

步骤62：利用处理后的数据序列组对预测模型进行训练。

训练的目的是使其达到一定精度，并利用粒子群优化算法对相关参数进行优化，使其具有较好的预测效果。

“预测模型”就是指回归核匹配学习机。核匹配追踪算法中，参数maxN(最大迭代次数)，fitN(表示每经过fitN步进行一次后拟合)，D(D为折中因子，D越大，对指定类别的样本学习程度越充分，识别精度越高，同时非指定类别样本的识别精度损失也越大)的选取是否合理，极大的影响了算法的精度，所以选择合理的参数可以提高算法的聚类度。

优化就是设定相关参数的数值范围，将各个参数作为粒子群中的粒子，初始化后，在区间范围内进行搜索寻优，当各个参数整体的误差小于设定的误差时，则说明此刻的参数最优。

步骤63：利用历史数据和当前网络安全态势，预测未来一段时间内的网络安全态势。

利用回归核匹配学习机具有非线性拟合的特点，在现有的态势基础上，可以拟合出未来下一个态势值，预测值的表现形式是一个数值。由于随着时间的变化，预测值会出现一定的偏差，利用残差对公式修正为：

取t＝10，20，…，300，即每间隔10分钟计算一次网络安全态势值，然后形成网络安全态势图，使网络安全态势可视化。

步骤7：根据设定阈值，判定网络安全是否受到威胁；当态势值大于设定阈值时，则判定网络安全受到威胁。

根据主机和网络的可生存性，确定出响应阈值，阈值不能太大，也不能太小，太大时，网络已经处于崩溃边缘，而没有响应；太小，则稍微有点威胁就响应，这样就会造成响应频率过高。同时，根据威胁的分类和威胁指数，分析得出威胁的潜在原因，并给出相应的解决方案。

使用本发明，不仅能够快速评估和反映当前网络安全态势，同时也能很好的预测出未来一段时间内的网络安全态势。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims (6)

1.一种网络安全态势感知方法，其特征是所述方法包括下列步骤：

步骤1：从安全防护软件和/或硬件中采集数据，对数据进行预处理，并将预处理后的数据作为数据样本；

步骤2：利用流形学习对数据样本进行特征提取和降维，得到数据样本的输出值；

步骤3：利用核匹配集成聚类算法对数据样本的输出值进行聚类；

步骤4：采用DS证据推理对聚类后的结果进行融合；

步骤5：采用层次模型，评估网络安全态势和威胁；

步骤6：利用历史数据和当前网络安全态势，预测未来设定时长内的网络安全态势；

步骤7：根据设定阈值，判定网络安全是否受到威胁；当态势值大于设定阈值时，则判定网络安全受到威胁。

2.根据权利要求1所述的一种网络安全态势感知方法，其特征是所述利用流形学习对数据样本进行特征提取和降维具体包括：

步骤201：设定数值k，利用公式

计算每个数据样本的k个近邻点；其中，M(i)，M(j)分别表示数据样本y_i，y_j和其他数据样本之间的平均值，i＝1，2，...，n，j＝1，2，...，n；

步骤202：利用公式

根据每个数据样本的近邻点计算出该数据样本的局部重建权值矩阵；其中，

是x_i与x_ij之间的权值，且要满足条件：

Qⁱ是一个局部协方差矩阵，且

x_ij(j＝1，2，...，k)为x_i的k个近邻点；

步骤203：由该数据样本的局部重建权值矩阵和其近邻点计算出该数据样本的输出值；计算公式为：

$\min \mathrm{\ϵ}\left(Y\right)=\underset{i=1}{\overset{N}{\mathrm{\Σ}}}{|y_i-\underset{j=1}{\overset{k}{\mathrm{\Σ}}}{w^i}_j{y}_{\mathrm{ij}}|}^2$

定义误差函数为

ε(Y)为损失函数值，y_i是x_i的输出向量，y_ij(j＝1，2，...，k)是y_i的k个近邻点，且要满足

I为一个k×k阶的单位矩阵。

3.根据权利要求1所述的一种网络安全态势感知方法，其特征是所述利用核匹配集成聚类算法对数据样本的输出值进行聚类具体包括：

步骤301：采用重采样技术对数据样本的输出值进行抽样，得到K个不相同的样本序列x_i＝{a₁，a₂，...，a_n}，i＝1，2，...，K，并重复K次；

步骤302：利用每次所得的K个样本序列训练1个核匹配聚类器，最终得到K个聚类结果不同的核匹配聚类器；

步骤303：对所得到的K个聚类器赋予相同的权重，则其权重为：

i＝1，2，...，K；

步骤304：利用聚类算法的误差函数

评判聚类效果，之后根据聚类效果，对K个聚类器的权重进行优化；其中d_j表示第j个数据样本的期望输出，f_ij表示第i个分类器在第j个数据样本上的实际输出，

步骤305：对优化后的权重归一化处理，使权重落于[0，1]之间，其归一化后的权重为：

其中，m_i为优化后的第i个聚类器的权重，i＝1，2，...，K，m_i′表示归一化后第i个聚类器的权重；

步骤306：将步骤2中的数据样本的输出值分别作用于各个聚类器，对其进行聚类，聚类函数为f_i(x)，

其中sgn是指示函数，a_i是系数，K(·，x_k)是核函数；

步骤307：利用公式

将K个聚类器的聚类结果按照权重进行融合；其中，{x_k|k＝1，...，n}∈{x₁，...，x_n}为支撑点，K(·，x_k)为核函数，

4.根据权利要求1所述的一种网络安全态势感知方法，其特征是所述采用DS证据推理对聚类后的结果进行融合具体包括：

步骤401：将各个聚类后的结果作为证据，计算每个证据的基本概率赋值函数、似然函数和信任函数；

步骤402：再利用DS证据组合规则，计算所有证据在联合作用下的基本概率赋值函数、似然函数和信任度函数；

步骤403：最后根据预设的决策规则，提取出态势要素。

5.根据权利要求1所述的一种网络安全态势感知方法，其特征是所述步骤5包括：

步骤501：对网络进行分级，确定各个网络级别的指标参数；

步骤502：计算各个网络级别的网络安全态势值和威胁指数；

步骤503：计算整体网络安全态势值和威胁指数。

6.根据权利要求1所述的一种网络安全态势感知方法，其特征是所述步骤6包括：

步骤61：对历史数据进行处理，形成多组时间态势序列组；

步骤62：利用处理后的数据序列组对预测模型进行训练；

步骤63：利用历史数据和当前网络安全态势，预测未来一段时间内的网络安全态势。

Images