本發明實施例提供一種網絡安全態勢檢測方法。所述方法包括：獲取網絡中數據包；分別統計與每個主體相關的數據包以組成數據集；根據數據集中各個數據包間的相似度，以及所述主體與所有相對主體的拓撲關系，得到所述主體的主體關聯度；根據每個主體的主體關聯度和所有數據包的統計特征，得到穩定值和風險值；根據穩定值和風險值，采用預設的網絡安全態勢公式，得到所述網絡的網絡態勢值，本發明實施例通過采集網絡中數據包，并統計得到每個主體的數據集，然后通過數據包的相似度和主體的拓撲關系，得到主體關聯度，再根據數據包的統計特征，得到穩定值和風險值，進而得到網絡態勢值，從而能夠準確得分析出所述網絡當前的安全性。

技術領域

本發明實施例涉及網絡安全技術領域，尤其涉及一種網絡安全態勢檢測方法。

背景技術

隨著互聯網規模和應用領域的不斷發展，網絡攻擊和破壞行為日益增多，且逐漸呈現出組織嚴密化、行為趨利化和目標直接化的特點。而現有的網絡安全防護主要依靠病毒檢測、入侵檢測和防火墻等單點安全設備，由于它們彼此間缺乏有效協作，使得各類安全設備的效能無法得到充分發揮，網絡安全問題已成為影響互聯網和各類應用發展的主要問題。

網絡安全態勢感知可以從總體上把握網絡運行的安全狀況及未來的發展趨勢，實時感知當前網絡所面臨的各種威脅，為及時、準確地采取應對措施提供決策依據，從而將網絡威脅帶來的風險和損失降至最低。

專利《基于信息關聯的網絡安全態勢感知系統及其方法》(公開號CN102340485A)提出綜合利用主動掃描和被動嗅探相結合的方式獲取網絡脆弱性信息、通過對各種安全日志的采集和分析來獲取威脅信息、以及網絡流量等基本信息生成網絡安全態勢。上述方法通過各類檢測引擎的檢測結果或記錄對網絡安全態勢進行評估，只考慮單一時空尺度上的網絡行為，存在分析方法簡單，融合層次較低的問題，導致態勢評估結果粗糙、難以描述網絡行為的復雜特征，更不能細粒度的刻畫網絡威脅行為發生、發展和演化的全過程。

目前，對網絡安全態勢感知的研究主要集中于對單機日志、NetFlow、簡單網絡管理協議SNMP和服務等數據的簡單關聯分析基礎之上，存在著感知范圍片面、精度低等不足，因此無法從本質上把握網絡運行的內在規律，更難以全面準確地對整個網絡的安全態勢進行動態評估和趨勢預測。

發明內容

本發明實施例提供一種網絡安全態勢檢測方法，用以解決現有技術中無法從本質上把握網絡運行的內在規律，更難以全面準確地對整個網絡的安全態勢進行動態評估和趨勢預測。

第一方面，本發明實施例提供了一種網絡安全態勢檢測方法，包括：

在預設的時間段內獲取網絡中所有數據包，所述數據包至少包括發送端和接收端；

分別統計與每個主體相關的數據包以組成所述主體的數據集；其中，所述數據集中每個數據包的發送端或接收端為所述主體；

根據所述數據集中各個數據包間的相似度，以及所述主體與所有相對主體的拓撲關系，得到所述主體的主體關聯度；其中，所述主體和相對主體為至少一個數據包的發送端和接收端；

根據每個主體的主體關聯度和所有數據包的統計特征，得到所述網絡的穩定值和風險值；

根據所述穩定值和風險值，采用預設的網絡安全態勢公式，得到所述網絡在所述時間段內的網絡態勢值。

第二方面，本發明實施例還提供了一種電子設備，包括：

處理器、存儲器、通信接口和通信總線；其中，

所述處理器、存儲器、通信接口通過所述通信總線完成相互間的通信；

所述通信接口用于該電子設備的通信設備之間的信息傳輸；

所述存儲器存儲有可被所述處理器執行的計算機程序指令，所述處理器調用所述程序指令能夠執行如下方法：