1.一種網絡安全態勢感知方法，其特征在于，包括如下步驟：

步驟1，提取可用于描述網絡安全態勢的關鍵要素，包括網絡流量穩定性、威脅性、脆弱性、用戶行為；

步驟2，對提取的該關鍵要素，進行二級指標分值和一級指標分值計算，該一級指標分值的計算包括，

步驟21，計算網絡流量穩定性指標分值SS，該二級指標包括網絡流量的變化率和分布，

步驟22，計算威脅性指標分值TS，該二級指標包括警報數目和等級、網絡使用帶寬、安全事件發生歷史數目，

步驟23，計算脆弱性指標分值VS，該二級指標包括漏洞的數目和等級，服務種類，

步驟24，計算用戶行為指標分值US，該二級指標包括關鍵業務常用IP、關鍵業務未知IP、活躍用戶topN、活躍時間段、關鍵業務使用頻度比、關鍵業務使用頻度比、同時刻關鍵業務在線用戶數；

步驟3，利用加權求和計算網絡安全態勢值NASA_Score。

2.如權利要求1所述的網絡安全態勢感知方法，其特征在于，在步驟21中，

所述網絡流量的變化率包括流出Packets總數、流入Packets總數、Packets總數、流出Bytes總數、流入Bytes總數、Bytes總數、流出Flows總數、流入Flows總數和Flows總數；所述網絡流量的分布包括流出數據包大小、流入數據包大小、流出方向源IP、流出方向目的IP、流出方向源端口和流出方向目的端口。

3.如權利要求1-2所述的網絡安全態勢感知方法，其特征在于，

計算所述網絡流量穩定性指標的每個二級指標的測度的樣本的均值在報告期rp和基期bp的置信區間，設定置信區間的閾值，根據將該報告期rp的置信區間偏離該基期bp的置信區間的程度與所述閾值的比較，為所述網絡流量穩定性指標的每個二級指標賦予范圍為[0,5]的分值，并通過權重分析法，賦予每個二級指標的測度一個[0,1]的權重，利用加權求和計算出網絡流量穩定性指標分值SS。

4.如權利要求1所述的網絡安全態勢感知方法，其特征在于，所述步驟22包括警報關聯處理：將原始警報的一條警報信息OriAlert及其10個屬性標簽表示為

OriAlert(aid,type,pro,srcip,dstip,srcport,dstport,starttime,endtime,summary)

其中，該屬性標簽依次為警報名稱、警報類型、協議類型、警報源IP地址、警報目的IP地址、警報源端口、警報目的端口、產生警報時間、結束警報時間、警報描述；將該OriAlert按srcip、dstip、type屬性標簽進行橫向的初步聚集，將不同警報規范化到IDMEF格式；將存在重復關系的該OriAlert進行歸并處理，并生成去冗余警報DisAlert，該DisAlert區別于該OriAlert，增加有num屬性標簽，代表具有重復關系的警報數目；依據關聯規則對該DisAlert進行警報關聯分析，得出最后的綜合警報CorAlert，該CorAlert的屬性標簽較該DisAlert增加了警報嚴重等級level和警報發生可信度credit，去掉了警報數目num。

5.如權利要求1或權利要求4所述的網絡安全態勢感知方法，其特征在于，該步驟22包括：

步驟221，計算警報威脅性指數AI，

（1）計算所述CorAlert的警報嚴重等級level，

當產生所述CorAlert時，根據判斷所述警報源IP地址、所述警報目的IP地址是否為網內監控設備的IP地址，警報所涉及的操作系統與攻擊目標系統是否匹配，監控設備是否存在所述CorAlert攻擊所利用的漏洞，所述CorAlert攻擊所利用的端口和服務是否為開啟狀態這n個驗證條件的滿足條件數m，計算所述警報發生可信度credit的概率值，即所述警報發生可信度credit為m與n的比值，分別通過資產表獲得設備等級ml，通過漏洞表獲得漏洞等級rl，通過所述OriAlert獲得警報類型type后，加權求和所述設備等級ml、所述漏洞等級rl、所述警報類型type和所述警報發生可信度credit計算得出所述CorAlert的警報嚴重等級level；

（2）將所述警報發生可信度credit與所述警報嚴重等級level的乘積定義為所述CorAlert的等級指數，則警報威脅性評估指數AI為所有所述CorAlert的等級指數的期望。