网络态势的分析方法和装置与流程

本发明涉及数据处理的技术领域，尤其是涉及一种网络态势的分析方法和装置。

背景技术：

随着我国网络技术的飞速发展，网络规模在不断的扩大，因此，对于网络态势的分析与预测的要求也就随之提高。因为，网络运行状况瞬息万变，因此，现代网络管理必须能够在复杂的网络环境中，对网络态势进行准确的分析和预测，以保证网络正常运行。但是，现有的技术方案不能做到准确对网络态势进行实时分析，以及不能做到准确对网络态势进行预测。

技术实现要素：

本发明的目的在于提供网络态势的分析方法和装置，以缓解现有技术中无法有效地对网络态势进行分析和预测的技术问题。

根据本发明实施例的一个方面，提供了一种网络态势的分析方法，该方法包括：获取用于对目标网络的网络态势进行分析的样本数据，其中，所述样本数据为对所述目标网络进行可信计算之后得到的数据；基于所述样本数据，使用预先建立好的神经网络证据模型进行测试，以得到当前时刻所述目标网络的第一态势分析数据，其中，所述神经网络证据模型的目标网络权值和目标阈值预先通过布谷鸟搜索cs算法对预设网络权值和预设阈值分别进行优化得到；通过所述第一态势分析数据对所述当前时刻的下一时刻的网络态势进行预测，以得到第二态势分析数据，其中，所述第二态势分析数据用于表征所述下一时刻所述目标网络的网络态势。

进一步地，所述神经网络证据模型包括目标神经网络模型和目标证据理论模型，使用所述样本数据对预先建立好的神经网络证据模型进行测试，以得到当前时刻所述目标网络的第一态势分析数据包括：获取预先为所述目标神经网络设置的所述预设网络权值和所述预设阈值；通过所述cs算法对所述预设网络权值和所述预设阈值进行优化，优化之后得到所述目标网络权值和所述目标阈值，并将所述目标网络权值作为所述目标神经网络的起始网络权值，以及将所述目标阈值作为所述目标神经网络的起始阈值；基于所述样本数据，使用所述目标神经网络模型进行测试，得到目标测试结果，并将所述目标测试结果为所述目标证据理论模型的基本概率分配；通过所述目标证据理论模型对所述基本概率分配进行处理，得到当前时刻所述目标网络的第一态势分析数据。

进一步地，通过所述cs算法对所述预设网络权值和所述预设阈值进行优化，优化之后得到所述目标网络权值和所述目标阈值包括：初始化步骤，初始化优化参数，其中，所述优化参数包括：pa参数，所述cs算法的整体迭代次数，所述cs算法的局部迭代次数；生成步骤，将所述预设网络权值和所述预设阈值作为所述cs算法中的一个初始鸟巢，并基于所述初始鸟巢生成多个鸟巢；计算步骤，将所述目标神经网络的预设误差作为所述cs算法的适应度函数进行计算，以在所述多个鸟巢中确定当前迭代计算中的最优鸟巢；判断步骤，在确定所述当前迭代计算中的最优鸟巢之后，判断是否满足对优化之后的所述多个鸟巢的位置进行更新的更新条件；更新步骤，如果判断出满足所述更新条件，则通过共轭梯度算法对所述多个鸟巢的鸟巢位置进行更新，并返回执行所述计算步骤；确定步骤，如果判断出不满足所述更新条件，则确定所述当前迭代计算中的最优鸟巢为所述目标网络权值和所述目标阈值。

进一步地，通过所述第一态势分析数据对所述当前时刻的下一时刻的网络态势进行预测，以得到所述第二态势分析数据包括：对所述第一态势分析数据进行小波分解，分解之后得到各层数据序列，其中，每层所述数据序列中包括小波系数和尺度系数；对每层所述小波系数和每层所述尺度系数进行序列的差异信息的平移，得到平移之后的各层所述数据序列；使用平移之后的各层所述数据序列对灰色模型进行参数估计，得到估计之后的所述灰色模型；使用估计之后的所述灰色模型对平移之后的每层所述小波系数和平移之后每层所述尺度系数进行预测，分别得到每层所述小波系数和每层所述尺度系数的预测值；基于每层所述小波系数的预测值和每层所述尺度系数的预测值确定所述第一态势分析数据的预测值，并将所述第一态势分析数据的预测值作为所述第二态势分析数据。

进一步地，在对每层所述小波系数和每层所述尺度系数进行序列的差异信息的平移之后，且在使用平移之后的各层所述数据序列对灰色模型进行参数估计之前，所述方法还包括：对所述各层数据序列进行级比检验，得到检验结果；判断所述检验结果是否处于预设取值区间内；如果判断出处于所述预设取值区间内，则执行使用平移之后的各层所述数据序列对灰色模型进行参数估计的步骤；如果判断出未处于所述预设取值区间内，则通过ln(x)函数对所述各层数据序列进行变换，并使用平移和变换之后的各层所述数据序列对灰色模型进行参数估计。

进一步地，在使用估计之后的所述灰色模型对平移之后的每层所述小波系数和平移之后每层所述尺度系数进行预测之前，所述方法还包括：获取至少一个参数值，其中，所述至少一个参数值用于确定估计之后的所述灰色模型的初始值；将每个所述参数值代入至估计之后的所述灰色模型中，计算每个所述参数值对应的估计值；计算每个所述估计值与理论值的差值，得到多个差值；确定所述多个差值中最小差值对应的参数值为所述初始值。

进一步地，在基于每层所述小波系数的预测值和每层所述尺度系数的预测值确定所述第一态势分析数据的预测值之后，所述方法还包括：按照时间的平移对所述第一态势分析数据进行更新。

根据本发明实施例的另一个方面，还提供了一种网络态势的分析装置，该装置包括：获取单元，用于获取用于对目标网络的网络态势进行分析的样本数据，其中，所述样本数据为对所述目标网络进行可信计算之后得到的数据；测试单元，用于基于所述样本数据，使用预先建立好的神经网络证据模型进行测试，以得到当前时刻所述目标网络的第一态势分析数据，其中，所述神经网络证据模型的目标网络权值和目标阈值预先通过布谷鸟搜索cs算法对预设网络权值和预设阈值分别进行优化得到；预测单元，用于通过所述第一态势分析数据对所述当前时刻的下一时刻的网络态势进行预测，以得到第二态势分析数据，其中，所述第二态势分析数据用于表征所述下一时刻所述目标网络的网络态势。

进一步地，所述神经网络证据模型包括目标神经网络模型和目标证据理论模型，所述测试单元包括：第一获取模块，用于获取预先为所述目标神经网络设置的所述预设网络权值和所述预设阈值；优化模块，用于通过所述cs算法对所述预设网络权值和所述预设阈值进行优化，优化之后得到所述目标网络权值和所述目标阈值，并将所述目标网络权值作为所述目标神经网络的起始网络权值，以及将所述目标阈值作为所述目标神经网络的起始阈值；测试模块，用于基于所述样本数据，使用所述目标神经网络模型进行测试，得到目标测试结果，并将所述目标测试结果为所述目标证据理论模型的基本概率分配；处理模块，用于通过所述目标证据理论模型对所述基本概率分配进行处理，得到当前时刻所述目标网络的第一态势分析数据。

进一步地，所述优化模块包括：初始化子模块，用于初始化优化参数，其中，所述优化参数包括：pa参数，所述cs算法的整体迭代次数，所述cs算法的局部迭代次数；生成子模块，用于将所述预设网络权值和所述预设阈值作为所述cs算法中的一个初始鸟巢，并基于所述初始鸟巢生成多个鸟巢；计算子模块，用于将所述目标神经网络的预设误差作为所述cs算法的适应度函数进行计算，以在所述多个鸟巢中确定当前迭代计算中的最优鸟巢；判断子模块，用于在确定所述当前迭代计算中的最优鸟巢之后，判断是否满足对优化之后的所述多个鸟巢的位置进行更新的更新条件；更新子模块，用于如果判断出不满足所述更新条件，则通过共轭梯度算法对所述多个鸟巢的鸟巢位置进行更新，并继续通过所述计算子模块执行将所述目标神经网络的预设误差作为所述cs算法的适应度函数进行计算的步骤；确定子模块，用于如果判断出满足所述更新条件，则确定所述当前迭代计算中的最优鸟巢为所述目标网络权值和所述目标阈值。

在本发明实施例中，首先获取用于对目标网络的网络态势进行分析的样本数据；然后，基于样本数据，使用预先建立好的神经网络证据模型进行预测，以得到当前时刻目标网络的态势分析数据(即，第一态势分析数据)；最后，通过当前时刻目标网络的态势分析数据对未来时刻的网络态势进行预测，得到未来时刻的态势分析数据(即，第二态势分析数据)。在本发明实施例提供的网络态势的分析方法中，能够实时对网络态势进行分析，以达到了实时对网络的运行状态进行准确检测的目的，进而缓解了现有技术中无法有效地对网络态势进行分析和预测的技术问题，从而实现了实时对网络态势进行分析，以及对网络态势进行准确预测的技术效果。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据本发明实施例的一种网络态势的分析方法的流程图；

图2是根据本发明实施例的一种可选地网络态势的分析方法的流程图；

图3是根据本发明实施例的一种可选地对当前时刻目标网络的网络态势进行分析的流程图；

图4是根据本发明实施例的一种可选地神经网络的示意图；

图5是根据本发明实施例的一种可选地对未来时刻目标网络的网络态势进行预测的流程图；以及

图6是根据本发明实施例的一种网络态势的分析装置的示意图。

具体实施方式

下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

根据本发明实施例，提供了一种网络态势的分析方法的实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

图1是根据本发明实施例的一种网络态势的分析方法的流程图，如图1所示，该方法包括如下步骤：

步骤s102，获取用于对目标网络的网络态势进行分析的样本数据，其中，样本数据为对目标网络进行可信计算之后得到的数据。

在本发明实施例中，将预先分类统计好的单位时间内的可信度量产生的安全事件数量作为步骤s104中神经网络证据模型的输入，也即，样本数据；进而，通过神经网络证据模型对样本数据进行分析，得到当前时刻目标网络的态势分析数据(即，下述第一态势分析数据)。

步骤s104，基于样本数据，使用预先建立好的神经网络证据模型进行测试，以得到当前时刻目标网络的第一态势分析数据，其中，神经网络证据模型的目标网络权值和目标阈值预先通过布谷鸟搜索算法对预设网络权值和预设阈值分别进行优化得到。

在本发明实施例中，通过布谷鸟搜索(cuckoosearch,简称cs)算法(下述均简称为cs算法),对预先设置的预设网络权值和预设阈值进行优化，得到最优网络权值和最优阈值，并将最优网络权值作为神经网络证据模型的目标网络权值，以及将最优阈值作为神经网络证据模型的目标阈值。

需要说明的是，在本发明实施例中，优选cs算法对预设网络权值和预设阈值进行优化，但是，并不限定于上述算法。也就是说，除了cs算法之外，还可以采用粒子群算法，鱼群算法和蚁群算法等人工智能算法对预设网络权值和预设阈值进行优化。

步骤s106，通过第一态势分析数据对当前时刻的下一时刻的网络态势进行预测，以得到第二态势分析数据，其中，第二态势分析数据用于表征下一时刻目标网络的网络态势。

在本发明实施例中，首先获取用于对目标网络的网络态势进行分析的样本数据；然后，基于样本数据，使用预先建立好的神经网络证据模型进行预测，以得到当前时刻目标网络的态势分析数据(即，第一态势分析数据)；最后，通过当前时刻目标网络的态势分析数据对未来时刻的网络态势进行预测，得到未来时刻的态势分析数据(即，第二态势分析数据)。在本发明实施例提供的网络态势的分析方法中，能够实时对网络态势进行分析，以达到了实时对网络的运行状态进行准确检测的目的，进而解决了现有技术中无法有效地对网络态势进行分析和预测的技术问题，从而实现了实时对网络态势进行分析，以及对网络态势进行准确预测的技术效果。

下面将结合图2至图4对本发明实施例提供的网络态势的分析方法进行详细介绍。

图2是根据本发明实施例的一种可选地网络态势的分析方法的流程图。如图2所示，网络态势的分析主要包括三个阶段：态势要素采集阶段，态势理解模型的分析阶段和态势预测模型的预测阶段。

其中，态势要素采集阶段主要用于采集步骤s102中的样本数据。态势理解模型的分析阶段主要将样本数据作为态势理解模型的输入，以使态势理解模型对样本数据进行分析，以得到当前时刻目标网络的第一态势分析数据(即，图2中所示的态势评估结果)，其中，图2中的态势理解模型即为本发明实施例中的神经网络证据模型，态势理解模型优选改进的cs-bp神经网络模型(即，下述目标神经网络模型)和d-s证据理论模型(即，目标证据理论模型)，在此情况下，态势理解模型的输入即为本发明实施例中神经网络证据模型的输入。态势预测模型的预测阶段主要对态势理解模型的输入(也即，态势预测模型的输入)进行分析，以得到未来时刻目标网络的第二态势分析数据(即，图2中所示的态势预测结果)，其中，态势预测模型优选小波分析和gm灰色预测模型。

下面将对结合图3至图5对态势理解模型的分析阶段和态势预测模型的预测阶段进行详细介绍。

图3是根据本发明实施例的一种可选地对当前时刻目标网络的网络态势进行分析的流程图。图4是根据本发明实施例的一种可选地神经网络的示意图。图5是根据本发明实施例的一种可选地对未来时刻目标网络的网络态势进行预测的流程图。

在本发明实施例中，神经网络证据模型包括目标神经网络模型和目标证据理论模型，其中，目标神经网络模型优选为改进的cs-bp神经网络模型，目标证据理论模型优选d-s证据理论模型。

在此情况下，使用所述样本数据对预先建立好的神经网络证据模型进行测试，以得到当前时刻所述目标网络的第一态势分析数据包括如下步骤：

步骤s1041，获取预先为目标神经网络设置的预设网络权值和预设阈值；

步骤s1042，通过cs算法对预设网络权值和预设阈值进行优化，优化之后得到目标网络权值和目标阈值，并将目标网络权值作为目标神经网络的起始网络权值，以及将目标阈值作为目标神经网络的起始阈值；

其中，上述步骤s1041和步骤s1042即为图3中改进的cs算法部分所执行的步骤。具体地，在改进的cs算法部分，如图3所示，首先进行cs算法的初始化(即，初始化步骤)，然后，获取预先为bp神经网络设置的预设网络权值和预设阈值；接下来，通过cs算法对预设网络权值和网络阈值进行优化，以得到预设网络权值和网络阈值的最优值；并将该最优值作为bp神经网络的起始网络权值和起始网络阈值。具体优化过程将在下述实施方式中进行介绍。

需要说明的是，目标网络权值即为经过改进cs算法优化之后得到的最优网络权值，目标阈值即为经过改进cs算法优化之后得到的最优阈值。

步骤s1043，基于样本数据，使用目标神经网络模型进行测试，得到目标测试结果，并将目标测试结果为目标证据理论模型的基本概率分配；

其中，步骤s1043即为图3中bp神经网络部分所执行的步骤。在本发明实施例中，优选bp神经网络，除了bp神经网络之外，还可以选取任一种神经网络，对此不做具体限定。

具体地，在步骤s1041和步骤s1042中确定出目标网络权值和目标阈值之后，就可以将样本数据作为bp神经网络的输入，使用bp神经网络进行测试，得到基本概率分配(bpa)，其中，基本概率分配即为目标测试结果。

如图3所示，在bp神经网络部分，首先确定输入数据，即样本数据；然后，确定bp神经网络的拓扑结构，并确定bp神经网络的网络权值和阈值；接下来，获取改进的cs算法部分优化之后的目标网络权值和目标阈值，并根据目标网络权值和目标阈值进行测试。如图3所示，当bp神经网络执行完一次迭代过程之后，计算当前时刻的误差与上一时刻的误差的差值，并更新网络权值和阈值，其中，当误差小于预设误差时(即，满足停止条件)，输出结果；否则返回继续执行计算过程。

步骤s1044，通过目标证据理论模型对基本概率分配进行处理，得到当前时刻目标网络的第一态势分析数据。

其中，步骤s1044即为图3中d-s证据合成部分所执行的步骤。在本发明实施例中，通过d-s证据理论模型对基本概率分配进行合成，以得到当前时刻目标网络的态势值(即，第一态势分析数据)，以完成量化评估态势。

综上，在本发明实施例中，引入改进的cs-bp神经网络模型进行学习，将其输出结果作为d-s证据理论模型的基本概率分布bpa；最后利用d-s证据理论模型在时间轴上对来自不同时间段的基本概率分布bpa进行融合得到最终结果，得到网络的状态(即，第一态势分析数据)。

由于d-s证据理论是一种有效的不确定性推理方法，比传统概率论能更好地把握问题的未知性和不确定性。该理论提供了证据的合成方法，能融合多个证据源提供的证据，因此成功应用于信息融合领域，因此，在本发明实施例中，优选d-s证据理论模型进行网络态势的评估。

但是，d-s证据理论模型存在的基本概率赋值函数由领域专家给出，结果容易受专家主观因素影响的问题，缺乏客观性评估，影响网络安全态势识别率。因此，d-s证据理论模型适用于多种分类信息之间的融合，最大程度的将态势要素进行利用分析。

由于本发明实施例中的态势要素(也即，样本数据)有不同的种类，故可以通过d-s证据理论模型进行融合，但是作为一个实际的开发系统，仅凭专家经验得到d-s的基本概率赋值，不能很好的满足于本发明。

基于此，发明人对d-s证据理论模型进行了改进。其中，d-s证据理论模型改进两种办法：

办法一、标准合成规则没有错，产生冲突证据的原因是各个传感器给出的信息不是同等重要的，而标准理论没有区分这种不等性，因而可以通过证据加权预处理冲突证据，然后再用标准准则合成。

办法二、认为不合理的结果是由标准合成规则中的归一化步骤产生的，新的组合规则主要是解决如何将冲突进行分配的问题。通过分类阈值划分证据，来避免证据的冲突。

因此，在本发明实施例中，通过d-s证据理论模型将采集到的数据进行融合，得到当前网络态势。但是d-s证据理论bpa为根据专家经验进行赋值，主观因素较大，因此引入bp神经网络通过训练得到基本概率分配(bpa)，利用bp网络自身的训练性和自适应性，减小评估时的主观性。如图3所示，将分类统计好的单位时间的可信度量产生的安全事件数量作为bp神经网络的输入，经过bp神经网络的输入层、隐藏层、输出层得到三个输出，输出作为d-s证据理论模型所需要的bpa(基本概率分配)。并根据实验统计数据和经验知识积累，将bpa分为正常态势(p)、异常态势(n)和未知态势(g)，最终对bpa进行d-s证据合成，得到当前时刻目标网络的态势值(即，第一态势分析数据)，量化评估态势。

如图4所示的为一种可选地改进的cs-bp神经网络的示意图。如图4所示，此三层bp神经网络的输入层节点数为m＝4，隐藏层节点数为r＝9，输出层节点数为n＝3；第i个输入节点与第j个隐藏层节点的连接权值为wij，第j个隐藏层节点与第k个输出节点权值为vjk，隐藏层阈值为θj，输出层阈值是θk。设有n个学习样本(xp,yp)(p＝1,2…n)，其中xp＝(xp0,xp1,xp2,xp3,xp4)^t是p个学习样本的输入向量；yp＝(yp0,yp1)^t为第p个学习样本的输出向量。

对于输入层节点，取其输入输出相同，opi＝xpi(i＝1,2,3,4)。隐藏层节点操作特性为opj＝f(netpj)(j＝0,1，…,r-1)。输出层节点操作特性为opk＝f(netpk)(k＝0，1)。其中opi,opj,opk分贝为输入层、隐藏层和输出层节点的输出，netpj,netpk分别为隐藏层和输出层的输入。综上公式可得输入—输出公式：传递函数f用sigmoid函数：

但是由于bp神经网络由于初始化时，网络权值和阈值是随机赋值的，故会导致其计算量相对较大，计算收敛速度慢；并且由于自身算法容易陷入局最优，因此，我们引入布谷鸟搜素算法(cuckoosearch)，对神经网络的连接权值和每层阈值进行优化，得到一个较优初始值，从而提高bp神经网络的收敛速度，改善容易陷入局部最优的缺陷。

在本发明实施例的一个可选实施方式中，通过cs算法对预设网络权值和预设阈值进行优化，优化之后得到目标网络权值和目标阈值包括如下步骤：

初始化步骤，初始化优化参数，其中，优化参数包括：pa参数，cs算法的整体迭代次数，cs算法的局部迭代次数；

生成步骤，将预设网络权值和预设阈值作为cs算法中的一个初始鸟巢，并基于初始鸟巢生成多个鸟巢；

具体地，将预设网络权值和预设阈值作cs算法的为一个鸟巢(即，初始鸟巢)。然后，基于初始鸟巢随机产生n个鸟巢，即

计算步骤，将目标神经网络的预设误差作为cs算法的适应度函数进行计算，以在多个鸟巢中确定当前迭代计算中的最优鸟巢；其中，计算步骤即图3中bp神经网络训练误差作为适应度值的步骤。

具体地，在计算步骤中，将bp神经网络中设定的预设误差作为cs算法的适应度函数进行计算，得到当前时刻最优的鸟巢位置

判断步骤，在确定当前迭代计算中的最优鸟巢之后，判断是否满足对优化之后的多个鸟巢的位置进行更新的更新条件；

更新步骤，如果判断出满足更新条件，则通过共轭梯度算法对多个鸟巢的鸟巢位置进行更新，并返回执行计算步骤；在确定当前时刻的最优鸟巢之后，可以判断是否满足更新条件。

例如，在计算适应度之后，将当前时刻的误差与上一时刻的误差进行比较，进而确定是否满足更新条件。如果判断出满足更新条件，则对当前时刻确定的最优鸟巢的位置进行更新；如果判断出不满足更新条件。进一步地，还可以将产生的随机数k和pa进行比较，以根据比较结果更新所有鸟巢位置。若k>pa，则保留原鸟巢位置；若k<pa，则以一个随机步长更新鸟巢位置。并和原鸟巢位置进行比较，如果更优则更新位置，得到更新后的位置，否则，则保留上一代。

确定步骤，如果判断出不满足更新条件，则确定当前迭代计算中的最优鸟巢为目标网络权值和目标阈值。

需要说明的是，在本发明实施例中的每一次的迭代过程中，经过更新(进化)后的鸟巢位置不是直接进入下一次迭代，而是把处的梯度乘以共轭因子β^k后加到该点的负梯度上，通过线性组合构造出一组共轭方向并沿这组共轭方向搜索，在规定的迭代次数内使鸟巢位置充分下降，得到新的鸟巢位置后，再进入下一次迭代。最后，将迭代多次最优质的鸟巢作为神经网络最优的权值和阈值。

在本发明实施例中，通过改进的cs-bp神经网络模型和d-s证据理论模型组成网络态势的评估模型。在该评估模型中，基于bp神经网络的自学习和自适应机制，减少d-s的基本概率分布的主观性；同时改进的cs算法通过优化得到一组教的bp神经网络初始值，提高了计算收敛速度。

在确定出当前时刻目标网络的态势值(即，第一态势分析数据)之后，就可以对未来时刻目标网络的态势值(即，第二态势分析数据)进行预测。在本发明实施例中，优选灰色预测模型gm(1,1)对未来时刻目标网络的态势值(即，第二态势分析数据)进行预测。

灰色预测模型gm(1,1)的灰色理论具有建模简单、运算方便、预测精度较高等优点，但是当数据离散程度较大的时候，精度较低。

通过cs-bp神经网络模型得到的不同时间点的态势值(即，第一态势分析数据)作为灰色预测模型的输入序列，并进入灰色预测模型进行计算，得到未来时刻的态势值(即，第二态势分析数据)。为提高预测精度，将输入序列进行平滑处理，在本发明实施例中，还引入小波分析，以得到平滑的输入序列。

在本发明实施例中，首先需要建立gm(1,1)灰色预测模型，gm(1,1)模型是最为常见的灰色预测模型，在预测领域得到广泛使用，也有不少使用该模型进行安全态势预测的。它是由一个只包含单变量的一阶灰微分方程构成的模型，在本发明实施例中单变量即为网络安全网络态势值。下面介绍基于gm(1,1)模型的网络态势预测的步骤：

(1)获取网络态势原始序列值:x⁰(t)＝{x⁽⁰⁾(1),x⁽⁰⁾(2),...,x⁽⁰⁾(n)}，在本发明实施例中，网络态势的原始值序列值即为图2中所示的态势理解模型的分析阶段获得结果。

(2)将原始数据序列做一次累加处理，获得新的数据序列。

具体地，令其中，t＝1,2,…,n，则可得新的数据序列：x¹(t)＝{x⁽¹⁾(1),x⁽¹⁾(2),...,x⁽¹⁾(n)}，而gm(1,1)模型的单变量一阶灰微分方程为：上式中，α和μ是模型的待定参数，可利用最小二乘法由下式计算：(α,μ)^t＝(b^tb)^-1b^ty。

上式中，y＝[x⁰(2),x⁰(3),…,x⁰(n)]。

所以计算得到的预测的累加序列值为：

最后，将该累加的序列值还原即可得到预测值为：x^⁽⁰⁾(t+1)＝x^⁽¹⁾(t+1)-x^⁽¹⁾(t)。

如图5所示，基于上述灰色预测模型gm(1,1)，通过第一态势分析数据对当前时刻的下一时刻的网络态势进行预测，以得到第二态势分析数据包括如下步骤：

步骤s1061，对第一态势分析数据进行小波分解(即，如5中所示的小波分析)，分解之后得到各层数据序列，其中，每层数据序列中包括小波系数和尺度系数；

在本发明实施例中，假设第一态势分析数据的数据序列表示为：x⁰(t)＝{x⁽⁰⁾(1),x⁽⁰⁾(2),...,x⁽⁰⁾(n)}，为便于理解，后续原始序列用x(t)表示。以小波理论算法对其进行分解，并且对分解后各层的序分别进行重构，可得到：x＝w1+w2...+wj+cj。

其中，wi:{wi(1),wi(2),...wi(n)}(i＝1,2..,j)为第i层分解得的细节信号，cj:{cj(1),cj(2),...cj(n)}为第j层分解得到的逼近信号。因此，x(t)＝w1(t)+w2(t)...+wj(t)+cj(t)。其中，时刻{t|t<n}的x(t)已知，预测x(t+1)即求出：x(t+1)＝w1(t+1)+w2(t+1)...+wj(t+1)+cj(t+1)。

具体地，对w1(t+1),w2(t+1),wj(t+1),cj(t+1)分别进行预测的过程描述为如下步骤：

步骤s1062，对每层小波系数和每层尺度系数进行序列的差异信息的平移，得到平移之后的各层数据序列；

具体地，对各层小波系数wi(i＝1,2..,j)和各尺度系数cj进行序列的差异信息的平移。

步骤s1063，使用平移之后的各层数据序列对灰色模型进行参数估计，得到估计之后的灰色模型；

具体地，用经过平移差异信息后的各层序列对gm(1,1)模型进行参数估计。

步骤s1064，使用估计之后的灰色模型对平移之后的每层小波系数和平移之后每层尺度系数进行预测，分别得到每层小波系数和每层尺度系数的预测值；

具体地，用估计后的gm(1,1)模型对平移后w1(t+1),w2(t+1),wj(t+1),cj(t+1)分别进行预测，得到预测值w1(t+1),w2(t+1),wj(t+1),cj(t+1)。

步骤s1065，基于每层小波系数的预测值和每层尺度系数的预测值确定第一态势分析数据的预测值，并将第一态势分析数据的预测值作为第二态势分析数据。

具体地，用可以得到原始序列x的预测值

需要说明的是，在本发明实施例中，发明人对灰色预测模型gm(1,1)的预测过程进行了改进，如图5所示的改进位置。

在本发明实施例中，主要改进点包括以下三个方面。

第一改进：

在对每层小波系数和每层尺度系数进行序列的差异信息的平移之后，且在使用平移之后的各层数据序列对灰色模型进行参数估计之前，执行下述步骤：

步骤s11，对各层数据序列进行级比检验，得到检验结果；判断检验结果是否处于预设取值区间内；

具体地，对小波变换后的原始数据x⁰(t)＝{x⁽⁰⁾(1),x⁽⁰⁾(2),...,x⁽⁰⁾(n)}进行级比检验(k＝2,3,…,n.)。

步骤s12，如果判断出处于预设取值区间内，则执行使用平移之后的各层数据序列对灰色模型进行参数估计的步骤；

具体地，如果级比检验结果满足则用gm(1,1)预测比较准确。

步骤s13，如果判断出未处于预设取值区间内，则通过ln(x)函数对各层数据序列进行变换，并使用平移和变换之后的各层数据序列对灰色模型进行参数估计；

具体地，如果不满足级比检验，则通过函数变换来进一步提高光滑度，其中，优选采用ln(x)进行变换，对变换的后数据进行gm(1,1)预测模型预测；最后对预测后的数据进行反变换得到原始序列预测初值。

第二改进：

在使用估计之后的灰色模型对平移之后的每层小波系数和平移之后每层尺度系数进行预测之前，执行下述步骤：

步骤s21，获取至少一个参数值，其中，至少一个参数值用于确定估计之后的灰色模型的初始值；

获取灰色模型的初始值x(m)的至少一个参数值，其中，初始值x(m)的至少一个参数值为范围内可定的常数。

步骤s22，将每个参数值代入至估计之后的灰色模型中，计算每个参数值对应的估计值；

将每个参数值代入至下述公式中：得到每个参数值对应的估计值，其中，1≤m≤n。

步骤s23，计算每个估计值与理论值的差值，得到多个差值；

步骤s24，确定多个差值中最小差值对应的参数值为初始值。

具体地，计算出不同x(m)值时的差值，取最小差值对应的参数值作为方程的初值。

第三改进：

在基于每层小波系数的预测值和每层尺度系数的预测值确定第一态势分析数据的预测值之后，执行下述步骤：

步骤s31，按照时间的平移对第一态势分析数据进行更新。

具体地，随着时间推移，对模型的输入数列进行时间的平移，不断补充新的数值，丢弃最早的数据，使其一直保证输入的序列长度为n，这样避免了标准gm(1,1)模型预测时间长度越长越不准的问题。

综上，本发明实施例中提供的网络态势的分析方法，利用可信计算采集到的数据，通过改进的cs-bp神经网络证据模型进行态势评估，通过小波分析的灰色预测模型进行预测，以达到较准确评估当前网络状态和预测未来一段时间网络状态的效果。

本发明实施例还提供了一种网络态势的分析装置，该网络态势的分析装置主要用于执行本发明实施例上述内容所提供的网络态势的分析方法，以下对本发明实施例提供的网络态势的分析装置做具体介绍。

图6是根据本发明实施例的一种网络态势的分析装置的示意图，如图6所示，该网络态势的分析装置主要包括：获取单元61，测试单元62和预测单元63，其中：

获取单元61，用于获取用于对目标网络的网络态势进行分析的样本数据，其中，样本数据为对目标网络进行可信计算之后得到的数据；

测试单元62，用于基于样本数据，使用预先建立好的神经网络证据模型进行测试，以得到当前时刻目标网络的第一态势分析数据，其中，神经网络证据模型的目标网络权值和目标阈值预先通过布谷鸟搜索cs算法对预设网络权值和预设阈值分别进行优化得到；

预测单元63，用于通过第一态势分析数据对当前时刻的下一时刻的网络态势进行预测，以得到第二态势分析数据，其中，第二态势分析数据用于表征下一时刻目标网络的网络态势。

在本发明实施例中，首先获取用于对目标网络的网络态势进行分析的样本数据；然后，基于样本数据，使用预先建立好的神经网络证据模型进行预测，以得到当前时刻目标网络的态势分析数据(即，第一态势分析数据)；最后，通过当前时刻目标网络的态势分析数据对未来时刻的网络态势进行预测，得到未来时刻的态势分析数据(即，第二态势分析数据)。在本发明实施例提供的网络态势的分析方法中，能够实时对网络态势进行分析，以达到了实时对网络的运行状态进行准确检测的目的，进而解决了现有技术中无法有效地对网络态势进行分析和预测的技术问题，从而实现了实时对网络态势进行分析，以及对网络态势进行准确预测的技术效果。

可选地，神经网络证据模型包括目标神经网络模型和目标证据理论模型，测试单元包括：第一获取模块，用于获取预先为目标神经网络设置的预设网络权值和预设阈值；优化模块，用于通过cs算法对预设网络权值和预设阈值进行优化，优化之后得到目标网络权值和目标阈值，并将目标网络权值作为目标神经网络的起始网络权值，以及将目标阈值作为目标神经网络的起始阈值；测试模块，用于基于样本数据，使用目标神经网络模型进行测试，得到目标测试结果，并将目标测试结果为目标证据理论模型的基本概率分配；处理模块，用于通过目标证据理论模型对基本概率分配进行处理，得到当前时刻目标网络的第一态势分析数据。

可选地，优化模块包括：初始化子模块，用于初始化优化参数，其中，优化参数包括：pa参数，cs算法的整体迭代次数，cs算法的局部迭代次数；生成子模块，用于将预设网络权值和预设阈值作为cs算法中的一个初始鸟巢，并基于初始鸟巢生成多个鸟巢；计算子模块，用于将目标神经网络的预设误差作为cs算法的适应度函数进行计算，以在多个鸟巢中确定当前迭代计算中的最优鸟巢；判断子模块，用于在确定当前迭代计算中的最优鸟巢之后，判断是否满足对优化之后的多个鸟巢的位置进行更新的更新条件；更新子模块，用于如果判断出不满足更新条件，则通过共轭梯度算法对多个鸟巢的鸟巢位置进行更新，并继续通过计算子模块执行将目标神经网络的预设误差作为cs算法的适应度函数进行计算的步骤；确定子模块，用于如果判断出满足更新条件，则确定当前迭代计算中的最优鸟巢为目标网络权值和目标阈值。

可选地，预测单元包括：分解模块，用于对第一态势分析数据进行小波分解，分解之后得到各层数据序列，其中，每层数据序列中包括小波系数和尺度系数；平移模块，用于对每层小波系数和每层尺度系数进行序列的差异信息的平移，得到平移之后的各层数据序列；估计模块，用于使用平移之后的各层数据序列对灰色模型进行参数估计，得到估计之后的灰色模型；预测模块，用于使用估计之后的灰色模型对平移之后的每层小波系数和平移之后每层尺度系数进行预测，分别得到每层小波系数和每层尺度系数的预测值；第一确定模块，用于基于每层小波系数的预测值和每层尺度系数的预测值确定第一态势分析数据的预测值，并将第一态势分析数据的预测值作为第二态势分析数据。

可选地，该装置还包括：检验模块，用于在对每层小波系数和每层尺度系数进行序列的差异信息的平移之后，且在使用平移之后的各层数据序列对灰色模型进行参数估计之前，对各层数据序列进行级比检验，得到检验结果；判断模块，用于判断检验结果是否处于预设取值区间内；如果判断出处于预设取值区间内，则通过平移模块执行使用平移之后的各层数据序列对灰色模型进行参数估计的步骤；如果判断出未处于预设取值区间内，则执行变换平移模块，即通过ln(x)函数对各层数据序列进行变换，并使用平移和变换之后的各层数据序列对灰色模型进行参数估计。

可选地，该装置还包括：第二获取模块，用于在使用估计之后的灰色模型对平移之后的每层小波系数和平移之后每层尺度系数进行预测之前，获取至少一个参数值，其中，至少一个参数值用于确定估计之后的灰色模型的初始值；代入模块，用于将每个参数值代入至估计之后的灰色模型中，计算每个参数值对应的估计值；计算模块，用于计算每个估计值与理论值的差值，得到多个差值；第一确定模块，用于确定多个差值中最小差值对应的参数值为初始值。

可选地，该装置还包括：更新模块，用于在基于每层小波系数的预测值和每层尺度系数的预测值确定第一态势分析数据的预测值之后，按照时间的平移对第一态势分析数据进行更新。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。