一种网络威胁态势评估方法及设备与流程

本申请涉及计算机领域，尤其涉及一种网络威胁态势评估方法及设备。

背景技术：

随着互联网的迅速普及，针对网络的攻击日益增多，攻击手段、攻击技术也不断更新，虽然防火墙、入侵检测系统等网络安全技术发展日益成熟，但是现实中总有一些攻击能够成功。实践证明，计算机网络安全风险的预先识别和网络安全性评估工作非常重要，这客观上要求我们应该有一套完善的安全评估系统，加强对网络的安全评估工作。

但是，在现有的网络信息安全评估技术中，由于没有一个统一的评估标准，在网络信息评估过程中，大多数是到相关政府部门对网络安全评估数据进行人工采集和处理，大大降低了整个评估过程的效率；此外，得到网络安全评估数据后，往往通过人工打分汇总进行安全评估工作，使得评估结果缺乏客观性，常常出现不同的评估者对同一被评估对象得出不同的评估结果，这样就降低了网络信息完全评估结果的准确性。

技术实现要素：

本申请的一个目的是提供一种网络威胁态势评估方法及设备，解决现有技术中的对网络系统进行威胁态势评估导致的效率低和准确度低的问题。

根据本申请的一个方面，提供了一种网络威胁态势评估方法，该方法包括：

获取网络系统中的待评估的网络检测数据；

对所述待评估的网络检测数据进行预处理，得到目标网络检测数据；

对所述目标网络检测数据进行网络威胁态势评估，得到所述网络系统的威胁态势评估结果。

进一步地，上述方法中，所述获取网络系统中的待评估的网络检测数据，包括：

对网络系统进行安全威胁检测，得到待评估的网络检测数据。

进一步地，上述方法中，所述对所述待评估的网络检测数据进行预处理，得到目标网络检测数据，包括：

基于预设的校验算法，对所述待评估的网络检测数据进行一致性校验处理，得到对应的数据标识符；

基于处理后的待评估的网络检测数据，得到目标网络检测数据，其中，所述目标网络检测数据包括所述数据标识符。

进一步地，上述方法中，所述基于处理后的待评估的网络检测数据，得到目标网络检测数据，其中，所述目标网络检测数据包括所述数据标识符，包括：

将处理后的待评估的网络检测数据进行过滤处理，得到目标网络检测数据。

进一步地，上述方法中，所述对所述目标网络检测数据进行网络威胁态势评估，得到所述网络系统的威胁态势评估结果，包括：

基于目标网络检测数据创建至少一个评估对象，并预置所述评估对象对应的各威胁评估等级；

对所述目标网络检测数据进行分析和归一化处理，得到每个所述评估对象对应的权重；

对所述目标网络检测数据进行安全威胁评估，得到每个所述评估对象对应的模糊向量；

基于每个所述评估对象对应的权重和模糊向量，得到所述网络系统的威胁态势评估结果。

进一步地，上述方法中，所述对所述目标网络检测数据进行分析和归一化处理，得到每个所述评估对象对应的权重，包括：

基于灰色关联分析法，按照所述评估对象对所述目标网络检测数据进行分析、归一化处理，得到每个所述评估对象对应的权重。

进一步地，上述方法中，所述基于每个所述评估对象对应的权重和模糊向量，得到所述网络系统的威胁态势评估结果，包括：

对每个所述评估对象对应的权重和模糊向量进行模糊变换，得到所述网络系统中的各威胁评估等级对应的评估比重；

对每个所述威胁评估等级对应的评估比重及其对应预设的评估值进行模糊变换，得到所述网络系统的威胁态势评估结果。

根据本申请的另一方面，还提供了一种网络威胁态势评估设备，其中，所述设备包括：

确定装置，用于确定网络系统中的待评估的网络检测数据；

处理装置，用于对所述待评估的网络检测数据进行预处理，得到目标网络检测数据；

评估装置，用于对所述目标网络检测数据进行网络威胁态势评估，得到所述网络系统的威胁态势评估结果。

进一步地，上述设备中，所述确定装置用于：

对网络系统进行安全威胁检测，确定待评估的网络检测数据。

进一步地，上述设备中，所述处理装置用于：

基于预设的校验算法，对所述待评估的网络检测数据进行一致性校验处理，得到对应的数据标识符；

基于处理后的待评估的网络检测数据，得到目标网络检测数据，其中，所述目标网络检测数据包括所述数据标识符。

进一步地，上述设备中，所述处理装置用于：

将处理后的待评估的网络检测数据进行过滤处理，得到目标网络检测数据。

进一步地，上述设备中，所述评估装置用于：

基于目标网络检测数据创建至少一个评估对象，并预置所述评估对象对应的各威胁评估等级；

对所述目标网络检测数据进行分析和归一化处理，得到每个所述评估对象对应的权重；

对所述目标网络检测数据进行安全威胁评估，得到每个所述评估对象对应的模糊向量；

基于每个所述评估对象对应的权重和模糊向量，得到所述网络系统的威胁态势评估结果。

进一步地，上述设备中，所述评估装置用于：

基于灰色关联分析法，按照所述评估对象对所述目标网络检测数据进行分析、归一化处理，得到每个所述评估对象对应的权重。

进一步地，上述设备中，所述评估装置用于：

对每个所述评估对象对应的权重和模糊向量进行模糊变换，得到所述网络系统中的各威胁评估等级对应的评估比重；

对每个所述威胁评估等级对应的评估比重及其对应预设的评估值进行模糊变换，得到所述网络系统的威胁态势评估结果。

根据本申请的另一方面，还提供了一种基于计算的设备，包括：

处理器；以及

被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器：

获取网络系统中的待评估的网络检测数据；

对所述待评估的网络检测数据进行预处理，得到目标网络检测数据；

对所述目标网络检测数据进行网络威胁态势评估，得到所述网络系统的威胁态势评估结果。

根据本申请的另一方面，还提供了一种存储可执行指令的非暂态计算机可读存储介质，在所述可执行指令由电子设备执行时，使得所述电子设备：

获取网络系统中的待评估的网络检测数据；

对所述待评估的网络检测数据进行预处理，得到目标网络检测数据；

对所述目标网络检测数据进行网络威胁态势评估，得到所述网络系统的威胁态势评估结果。

与现有技术相比，本申请通过获取网络系统中的待评估的网络检测数据；为了保证用于网络威胁态势评估的网络检测数据的精确度，在进行网络威胁态势评估之前，对所述待评估的网络检测数据进行预处理，得到用于网络威胁态势评估的目标网络检测数据；最后对所述目标网络检测数据进行网络威胁态势评估，得到所述网络系统的威胁态势评估结果，不仅避免了人为对待评估的网络检测数据进行采集与处理的人力物力的消耗，还提高了对需要进行评估的目标网络检测数据进行网络威胁态势评估的评估效率，同时，由于进行网络威胁态势评估的目标网络检测数据是对所述待评估的网络检测数据进行预处理之后得到的，不仅保证了用于网络威胁态势评估的目标网络检测数据的准确度，还使得得到的威胁态势评估结果能够准确地反映网络系统当下的威胁态势，在实现对网络系统进行网络威胁态势的智能评估的同时，提高了对网络系统进行网络威胁态势评估的准确度。

附图说明

通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征、目的和优点将会变得更明显：

图1示出根据本申请的一个方面的一种网络威胁态势评估方法的流程示意图；

图2示出根据本申请一个方面的一种网络威胁态势评估方法的安全合规性检测层次模型图的流程图；

图3示出本申请一个方面的一种网络威胁态势评估方法中的实际应用场景；

图4示出根据本申请的一个方面的一种网络威胁态势评估设备的结构示意图。

附图中相同或相似的附图标记代表相同或相似的部件。

具体实施方式

下面结合附图对本申请作进一步详细描述。

在本申请一个典型的配置中，终端、服务网络的设备和可信方均包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flashram)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括非暂存电脑可读媒体(transitorymedia)，如调制的数据信号和载波。

图1示出根据本申请的一个方面的一种网络威胁态势评估方法的流程示意图，应用于包含有至少一个网络设备的网络系统的网络威胁态势评估的过程中，该方法包括步骤s11、步骤s12和步骤s13，其中，具体包括：

所述步骤s11获取网络系统中的待评估的网络检测数据；为了保证用于网络威胁态势评估的网络检测数据的精确度，在对网络系统进行网络威胁态势评估之前，所述步骤s12对所述待评估的网络检测数据进行预处理，得到用于网络威胁态势评估的目标网络检测数据；最后所述步骤s13对所述目标网络检测数据进行网络威胁态势评估，得到所述网络系统的威胁态势评估结果，不仅避免了人为对待评估的网络检测数据进行采集与处理的人力物力的消耗，还提高了对需要进行评估的目标网络检测数据进行网络威胁态势评估的评估效率，同时，由于进行网络威胁态势评估的目标网络检测数据是对所述待评估的网络检测数据进行预处理之后得到的，不仅保证了用于网络威胁态势评估的目标网络检测数据的准确度，还使得得到的威胁态势评估结果能够准确地反映网络系统当下的威胁态势，在实现对网络系统进行网络威胁态势的智能评估的同时，提高了对网络系统进行网络威胁态势评估的准确度。

在此，所述网络系统中可以包括但不限于包括交换路由设备、安全设备、操作系统及数据库等。那么，在所述步骤s11获取的网络系统中的待评估的网络检测数据，可以包括交换路由设备检测数据、安全设备检测数据、操作系统检测数据及数据库检测数据中的任意项。

本申请一实施例中，所述步骤s11获取网络系统中的待评估的网络检测数据，包括：对网络系统进行安全威胁检测，得到待评估的网络检测数据。若需要对网络系统进行网络威胁态势评估，则需要采集用于进行网络威胁态势评估的待评估的网络检测数据，如图2所示通过对网络系统中的所有网络设备及系统进行安全防护合规性检测，得到至少一项网络检测数据，例如：交换路由设备检测数据和数据库检测数据等，实现对用于网络威胁态势评估的待评估的网络检测数据的初步采集。

本申请一实施例中，为了还原没有允许人为修改的网络检测数据，所述步骤s12对所述待评估的网络检测数据进行预处理，得到目标网络检测数据，包括：基于预设的校验算法，对所述待评估的网络检测数据进行一致性校验处理，得到对应的数据标识符；基于处理后的待评估的网络检测数据，得到目标网络检测数据，其中，所述目标网络检测数据包括所述数据标识符。例如，按照预设的监测算法，对所述待评估的网络检测数据进行一致性校验计算，得到每一项网络检测数据对应的一个唯一的数据标识符，并在该项网络检测数据的行末尾处增加一个字段来存储该唯一的数据标识符；当所述网络检测数据变更的时候，同时更新该网络检测数据对应的数据标识符；在使用该网络检测数据的时候，需要验证该网络检测数据是否完整，进而可以根据所述网络检测数据对应的数据标识符来进行数据完整性的校验。之后，所述步骤s12继续基于一致性校验处理后的待评估的网络检测数据，得到目标网络检测数据，其中，所述目标网络检测数据包括所述数据标识符，实现了对网络系统中的用于网络威胁态势评估的所有网络设备及系统对应的网络检测数据的一致性校验处理。

本申请一实施例中，为了将网络检测数据中的无效值及为空的缺失值剔除掉，以保证用于网络威胁态势评估的目标网络数据的精确度，所述步骤s12中的所述基于处理后的待评估的网络检测数据，得到目标网络检测数据，其中，所述目标网络检测数据包括所述数据标识符，包括：将处理后的待评估的网络检测数据进行过滤处理，得到目标网络检测数据。例如，将一致性校验处理之后的待评估的网络检测数据中的无效值和/或缺失值剔除掉，该无效值为所述步骤s11在数据采集过程中得到的网络检测数据的数据类型不符合要求，该缺失值为所述步骤s11在数据采集过程中得到的网络检测数据为空，实现了对待评估的网络检测数据的过滤处理，不仅避免了人为对待评估的网络检测数据进行一致性校验处理和过滤处理的人力物力的消耗，还保证了用于网络威胁态势评估的目标网络检测数据的准确度，以便后续基于该目标网络检测数据进行网络威胁态势评估得到的所述网络系统的威胁态势评估结果的准确度。

本申请一实施例中，所述步骤s13对所述目标网络检测数据进行网络威胁态势评估，得到所述网络系统的威胁态势评估结果，包括：

基于目标网络检测数据创建至少一个评估对象，并预置所述评估对象对应的各威胁评估等级；

对所述目标网络检测数据进行分析和归一化处理，得到每个所述评估对象对应的权重；

对所述目标网络检测数据进行安全威胁评估，得到每个所述评估对象对应的模糊向量；

基于每个所述评估对象对应的权重和模糊向量，得到所述网络系统的威胁态势评估结果。

例如，所述步骤s13对所述目标网络检测数据进行网络威胁态势评估具体包括以下步骤：首先，根据网络威胁态势评估的特点，创建评估对象，该评估对象的个数为至少一个，该评估对象可以包括但不限于包括攻击频率，时间重要程度，攻击源个数，攻击类型的优先级，内网是否存在攻击，主机重要程度，带宽的占用率，目的端口数等。在本申请一优选实施例中，创建的评估对象包括如下8个，分别为：攻击频率u1，时间重要程度u2，攻击源个数u3，攻击类型的优先级u4，内网是否存在攻击u5，主机重要程度u6，带宽的占用率u7，目的端口数u8。

接着，为了更好的反映网络系统及其中的网络设备和系统的安全等级，则对网络系统中的网络环境安全性进行评级预置，得到每个评估对象的威胁评估等级，在此，该威胁评估等级包括如下五个等级，分别为：安全性非常低(verylow，vl)、安全性低(low，l)、安全性中等(moderate，m)、安全性高(high，h)和安全性非常高(veryhigh，vh)，通过该威胁评估等级来反映每个评估对象及网络设备的网络威胁态势的程度和状态。

然后，所述步骤s13对所述目标网络检测数据进行分析和归一化处理，得到每个所述评估对象的权重；由于所述评估对象的权重的确定在对网络系统进行网络威胁态势评估过程中非常重要，若采用现有技术中的专家打分法，则会存在带有打分人的明显的主观性，使得得到的对每个评估对象进行的打分结果说服力不强，故本申请的所述步骤s13中的对所述目标网络检测数据进行分析和归一化处理，得到每个所述评估对象对应的权重，具体包括：基于灰色关联分析法，按照所述评估对象对所述目标网络检测数据进行分析、归一化处理，得到每个所述评估对象对应的权重，通过所述灰色关联分析法来确定得到每个所述评估对象的权重，不仅增强了对每个评估对象的权重的评估的客观性，还提高了每个评估对象的准确度。

在此，所述灰色关联分析法是通过各位专家对每个评估对象进行经验判断权重，对各位专家的经验判断权重与其中一位专家的经验判断的最大值(设定的)进行量化比较，根据各位专家的经验判断权重与其中一位专家的经验判断的最大值进行彼此差异性的大小分析，确定专家群体经验判断权重的关联程度，即关联度。若关联度越大，说明专家经验判断趋于一致，该评估对象在所有的评估对象中的重要程度就越大，权重也就越大。依据上述灰色关联分析法的规则，对每个评估对象进行规一化处理，从而确定每个评估对象对应的权重。

例如，评估对象分别为：攻击频率u1，时间重要程度u2，攻击源个数u3，攻击类型的优先级u4，内网是否存在攻击u5，主机重要程度u6，带宽的占用率u7，目的端口数u8，对每个评估对象进行经验判断权重的专家有五位，分别为：a1、a2、a3、a4和a5，每位专家对应给每个评估对象进行进行经验判断权重为，其中，按照专家对评估对象进行经验判断得到的权重从大到小的顺序对每个评估对象进行排序，则有专家a1：{u1，u2，u7，u6，u3，u5，u8，u4}，专家a2：{u2，u1，u3，u7，u6，u5，u4，u8}，专家a3：{u3，u2，u1，u6，u7，u4，u8，u5}，专家a4：{u6，u1，u3，u2，u7u4，u8，u5}，和专家a5：{u8，u1，u3，u4，u6，u7，u2，u5}，即对于评估对象:攻击频率u1来说，专家a1判断的权重值最大，故将其他四位专家a2、a3、a4和a5判断的权重值和专家a1的权重值进行差异化对比，并分析和归一化处理确定专家群体经验判断权重值的关联程度，进而得到专家群体对每个评估对象进行的综合权重值，得到专家群体对每个评估对象进行全体经验判断得到的权重为：a＝{w1，w2，w3，w4，w5，w6，w7和w8}，其中，w1表示专家群体对评估对象:攻击频率u1进行的权重判断得到的权重值，实现通过所述灰色关联分析法来确定得到每个所述评估对象的权重，不仅增强了对每个评估对象的权重的评估的客观性，还提高了每个评估对象的准确度。

接着本申请的上述实施例，所述步骤s13在对所述目标网络检测数据进行分析和归一化处理，得到每个所述评估对象对应的权重之后，需要对所述目标网络检测数据进行安全威胁评估，得到每个所述评估对象对应的模糊向量。例如，对于评估对象:攻击频率u1来说，所有专家中有20％的专家对该攻击频率u1的安全威胁评估的威胁评估等级为vl，有10％的专家对该攻击频率u1的安全威胁评估的威胁评估等级为l，有30％的专家对该攻击频率u1的安全威胁评估的威胁评估等级为m，有20％的专家对该攻击频率u1的安全威胁评估的威胁评估等级为h，有20％的专家对该攻击频率u1的安全威胁评估的威胁评估等级为vh，则攻击频率u1对应的模糊向量r1为：r1＝(r11，r12，r13，r14，r15)＝(0.2，0.1，0.3，0.2，0.2)，其中，r11代表对于攻击频率u1来说，有多少比例的专家对其的安全威胁评估为安全性非常低vl，r12代表对于攻击频率u1来说，有多少比例的专家对其的安全威胁评估为安全性低l，依此类推，得到向量r1中的每项的值；按照上述计算攻击频率u1对应的模糊向量r1的方法，依此类推，分别可以得到每个评估对象对应的模糊向量，分别为：r1＝(r11，r12，r13，r14，r15)，r2＝(r21，r22，r13，r24，r25)……,r7＝(r71，r72，r73，r74，r75)和r8＝(r81，r82，r83，r84，r85)，其中，r83代表对于评估对象：目的端口数u8来说，有多少比例的专家对其的安全威胁评估为安全性中等m，进而根据每个评估对象对应的模糊向量，得到反映所有评估对象的模糊向量的模糊矩阵r，具体为：

最后，基于每个所述评估对象对应的权重和模糊向量，得到所述网络系统的威胁态势评估结果，实现了从每个评估对象出发对网络系统的网络威胁态势进行评估。

本申请一实施例中，所述步骤s13中的基于每个所述评估对象对应的权重和模糊向量，得到所述网络系统的威胁态势评估结果，包括：

对每个所述评估对象对应的权重和模糊向量进行模糊变换，得到所述网络系统中的各威胁评估等级对应的评估比重；

对每个所述威胁评估等级对应的评估比重及其对应预设的评估值进行模糊变换，得到所述网络系统的威胁态势评估结果。

例如，所述步骤是13中对每个所述评估对象对应的权重a＝{w1，w2，w3，w4，w5，w6，w7和w8}和每个评估对象对应的模糊向量r1、r2、…..、r7和r8进行模糊变换，即b＝aor，aor代表权重向量和模糊矩阵之间的模糊运算，其中，b代表模糊变换求出的结果，得到模糊变换后的结果为：b＝{b1，b2，b3，b4，b5}，其中，b1代表对所述网络系统的威胁评估等级为vl的评估程度(即评估比重)，b2代表对所述网络系统的威胁评估等级为l的评估程度(即评估比重)，b3代表对所述网络系统的威胁评估等级为m的评估程度(即评估比重)，b4代表对所述网络系统的威胁评估等级为h的评估程度(即评估比重)，和b5代表对所述网络系统的威胁评估等级为vh的评估程度(即评估比重)，实现对所述网络系统中的各个评估对象之间的权重向量和模糊矩阵之间的模糊变换。

接着本申请的上述实施例，所述步骤s13对网络系统中的威胁评估等级的评估程度越高时对应的威胁评估等级对应的评估比重赋予对应的较高的预设的评估值，对于所述网络系统中的各威胁评估等级对应的评估比重b＝{b1，b2，b3，b4，b5}，对应的预设的评估值为：m＝{v1，v2，v3，v4，v5}，其中，v1代表b1对应的预设的评估值，…..，v5代表b5对应的预设的评估值。在本申请一优选实施例中，将m优选为m＝{1，2，3，4，5}，例如，b5代表对所述网络系统的威胁评估等级为vh的评估程度(即评估比重)越高，其b5对应的预设的评估值v5＝5的值越大，将所述威胁评估等级对应的评估比重b＝{b1，b2，b3，b4，b5}及其对应预设的评估值m＝{1，2，3，4，5}进行模糊变换，即t＝bom，得到一个代表所述网络系统当前的网络威胁态势的威胁态势评估结果t，即网络威胁态势值，实现对网络系统进行网络威胁态势的评估。

如图3所示为本申请一个方面的以中国网络威胁态势评估方法中的实际应用场景。本申请实施例中通过对网络系统中的各个网络设备及系统进行待评估的网络检测数据的数据采集、对网络检测数据进行预处理(包括一致性校验处理和过滤处理等)和合规性态势评估，进而得到反映网络系统当前的网络威胁态势的威胁态势评估结果，实现对网络系统中的网络威胁态势的智能分析和及时反馈，大大提高了对网络系统的网络安全的管理效率和对网络系统进行网络威胁态势评估的准确度。

图4示出根据本申请的一个方面的一种网络威胁态势评估设备的结构示意图，应用于包含有至少一个网络设备的网络系统的网络威胁态势评估的过程中，该设备包括确定装置11、处理装置12和评估装置13，其中，具体包括：

所述确定装置11用于获取网络系统中的待评估的网络检测数据；为了保证用于网络威胁态势评估的网络检测数据的精确度，在对网络系统进行网络威胁态势评估之前，所述处理装置12用于对所述待评估的网络检测数据进行预处理，得到用于网络威胁态势评估的目标网络检测数据；最后所述评估装置13用于对所述目标网络检测数据进行网络威胁态势评估，得到所述网络系统的威胁态势评估结果，不仅避免了人为对待评估的网络检测数据进行采集与处理的人力物力的消耗，还提高了对需要进行评估的目标网络检测数据进行网络威胁态势评估的评估效率，同时，由于进行网络威胁态势评估的目标网络检测数据是对所述待评估的网络检测数据进行预处理之后得到的，不仅保证了用于网络威胁态势评估的目标网络检测数据的准确度，还使得得到的威胁态势评估结果能够准确地反映网络系统当下的威胁态势，在实现对网络系统进行网络威胁态势的智能评估的同时，提高了对网络系统进行网络威胁态势评估的准确度。

在此，所述网络系统中可以包括但不限于包括交换路由设备、安全设备、操作系统及数据库等。那么，在所述确定装置11获取的网络系统中的待评估的网络检测数据，可以包括交换路由设备检测数据、安全设备检测数据、操作系统检测数据及数据库检测数据中的任意项。

本申请一实施例中，所述确定装置11用于：对网络系统进行安全威胁检测，得到待评估的网络检测数据。若需要对网络系统进行网络威胁态势评估，则需要采集用于进行网络威胁态势评估的待评估的网络检测数据，如图2所示通过对网络系统中的所有网络设备及系统进行安全防护合规性检测，得到至少一项网络检测数据，例如：交换路由设备检测数据和数据库检测数据等，实现对用于网络威胁态势评估的待评估的网络检测数据的初步采集。

本申请一实施例中，为了还原没有允许人为修改的网络检测数据，所述处理装置12用于：基于预设的校验算法，对所述待评估的网络检测数据进行一致性校验处理，得到对应的数据标识符；基于处理后的待评估的网络检测数据，得到目标网络检测数据，其中，所述目标网络检测数据包括所述数据标识符。例如，按照预设的监测算法，对所述待评估的网络检测数据进行一致性校验计算，得到每一项网络检测数据对应的一个唯一的数据标识符，并在该项网络检测数据的行末尾处增加一个字段来存储该唯一的数据标识符；当所述网络检测数据变更的时候，同时更新该网络检测数据对应的数据标识符；在使用该网络检测数据的时候，需要验证该网络检测数据是否完整，进而可以根据所述网络检测数据对应的数据标识符来进行数据完整性的校验。之后，所述处理装置12继续基于一致性校验处理后的待评估的网络检测数据，得到目标网络检测数据，其中，所述目标网络检测数据包括所述数据标识符，实现了对网络系统中的用于网络威胁态势评估的所有网络设备及系统对应的网络检测数据的一致性校验处理。

本申请一实施例中，为了将网络检测数据中的无效值及为空的缺失值剔除掉，以保证用于网络威胁态势评估的目标网络数据的精确度，所述处理装置12用于：将处理后的待评估的网络检测数据进行过滤处理，得到目标网络检测数据。例如，将一致性校验处理之后的待评估的网络检测数据中的无效值和/或缺失值剔除掉，该无效值为所述确定装置11在数据采集过程中得到的网络检测数据的数据类型不符合要求，该缺失值为所述确定装置11在数据采集过程中得到的网络检测数据为空，实现了对待评估的网络检测数据的过滤处理，不仅避免了人为对待评估的网络检测数据进行一致性校验处理和过滤处理的人力物力的消耗，还保证了用于网络威胁态势评估的目标网络检测数据的准确度，以便后续基于该目标网络检测数据进行网络威胁态势评估得到的所述网络系统的威胁态势评估结果的准确度。

本申请一实施例中，所述评估装置13用于：

基于目标网络检测数据创建至少一个评估对象，并预置所述评估对象对应的各威胁评估等级；

对所述目标网络检测数据进行分析和归一化处理，得到每个所述评估对象对应的权重；

对所述目标网络检测数据进行安全威胁评估，得到每个所述评估对象对应的模糊向量；

基于每个所述评估对象对应的权重和模糊向量，得到所述网络系统的威胁态势评估结果。

例如，所述评估装置13对所述目标网络检测数据进行网络威胁态势评估具体包括以下步骤：首先，根据网络威胁态势评估的特点，创建评估对象，该评估对象的个数为至少一个，该评估对象可以包括但不限于包括攻击频率，时间重要程度，攻击源个数，攻击类型的优先级，内网是否存在攻击，主机重要程度，带宽的占用率，目的端口数等。在本申请一优选实施例中，创建的评估对象包括如下8个，分别为：攻击频率u1，时间重要程度u2，攻击源个数u3，攻击类型的优先级u4，内网是否存在攻击u5，主机重要程度u6，带宽的占用率u7，目的端口数u8。

接着，为了更好的反映网络系统及其中的网络设备和系统的安全等级，则对网络系统中的网络环境安全性进行评级预置，得到每个评估对象的威胁评估等级，在此，该威胁评估等级包括如下五个等级，分别为：安全性非常低(verylow，vl)、安全性低(low，l)、安全性中等(moderate，m)、安全性高(high，h)和安全性非常高(veryhigh，vh)，通过该威胁评估等级来反映每个评估对象及网络设备的网络威胁态势的程度和状态。

然后，所述评估装置13对所述目标网络检测数据进行分析和归一化处理，得到每个所述评估对象的权重；由于所述评估对象的权重的确定在对网络系统进行网络威胁态势评估过程中非常重要，若采用现有技术中的专家打分法，则会存在带有打分人的明显的主观性，使得得到的对每个评估对象进行的打分结果说服力不强，故本申请的所述评估装置13具体用于：基于灰色关联分析法，按照所述评估对象对所述目标网络检测数据进行分析、归一化处理，得到每个所述评估对象对应的权重，通过所述灰色关联分析法来确定得到每个所述评估对象的权重，不仅增强了对每个评估对象的权重的评估的客观性，还提高了每个评估对象的准确度。

在此，所述灰色关联分析法是通过各位专家对每个评估对象进行经验判断权重，对各位专家的经验判断权重与其中一位专家的经验判断的最大值(设定的)进行量化比较，根据各位专家的经验判断权重与其中一位专家的经验判断的最大值进行彼此差异性的大小分析，确定专家群体经验判断权重的关联程度，即关联度。若关联度越大，说明专家经验判断趋于一致，该评估对象在所有的评估对象中的重要程度就越大，权重也就越大。依据上述灰色关联分析法的规则，对每个评估对象进行规一化处理，从而确定每个评估对象对应的权重。

例如，评估对象分别为：攻击频率u1，时间重要程度u2，攻击源个数u3，攻击类型的优先级u4，内网是否存在攻击u5，主机重要程度u6，带宽的占用率u7，目的端口数u8，对每个评估对象进行经验判断权重的专家有五位，分别为：a1、a2、a3、a4和a5，每位专家对应给每个评估对象进行进行经验判断权重为，其中，按照专家对评估对象进行经验判断得到的权重从大到小的顺序对每个评估对象进行排序，则有专家a1：{u1，u2，u7，u6，u3，u5，u8，u4}，专家a2：{u2，u1，u3，u7，u6，u5，u4，u8}，专家a3：{u3，u2，u1，u6，u7，u4，u8，u5}，专家a4：{u6，u1，u3，u2，u7u4，u8，u5}，和专家a5：{u8，u1，u3，u4，u6，u7，u2，u5}，即对于评估对象:攻击频率u1来说，专家a1判断的权重值最大，故将其他四位专家a2、a3、a4和a5判断的权重值和专家a1的权重值进行差异化对比，并分析和归一化处理确定专家群体经验判断权重值的关联程度，进而得到专家群体对每个评估对象进行的综合权重值，得到专家群体对每个评估对象进行全体经验判断得到的权重为：a＝{w1，w2，w3，w4，w5，w6，w7和w8}，其中，w1表示专家群体对评估对象:攻击频率u1进行的权重判断得到的权重值，实现通过所述灰色关联分析法来确定得到每个所述评估对象的权重，不仅增强了对每个评估对象的权重的评估的客观性，还提高了每个评估对象的准确度。

接着本申请的上述实施例，所述评估装置13在对所述目标网络检测数据进行分析和归一化处理，得到每个所述评估对象对应的权重之后，需要对所述目标网络检测数据进行安全威胁评估，得到每个所述评估对象对应的模糊向量。例如，对于评估对象:攻击频率u1来说，所有专家中有20％的专家对该攻击频率u1的安全威胁评估的威胁评估等级为vl，有10％的专家对该攻击频率u1的安全威胁评估的威胁评估等级为l，有30％的专家对该攻击频率u1的安全威胁评估的威胁评估等级为m，有20％的专家对该攻击频率u1的安全威胁评估的威胁评估等级为h，有20％的专家对该攻击频率u1的安全威胁评估的威胁评估等级为vh，则攻击频率u1对应的模糊向量r1为：r1＝(r11，r12，r13，r14，r15)＝(0.2，0.1，0.3，0.2，0.2)，其中，r11代表对于攻击频率u1来说，有多少比例的专家对其的安全威胁评估为安全性非常低vl，r12代表对于攻击频率u1来说，有多少比例的专家对其的安全威胁评估为安全性低l，依此类推，得到向量r1中的每项的值；按照上述计算攻击频率u1对应的模糊向量r1的方法，依此类推，分别可以得到每个评估对象对应的模糊向量，分别为：r1＝(r11，r12，r13，r14，r15)，r2＝(r21，r22，r13，r24，r25)……,r7＝(r71，r72，r73，r74，r75)和r8＝(r81，r82，r83，r84，r85)，其中，r83代表对于评估对象：目的端口数u8来说，有多少比例的专家对其的安全威胁评估为安全性中等m，进而根据每个评估对象对应的模糊向量，得到反映所有评估对象的模糊向量的模糊矩阵r，具体为：

最后，基于每个所述评估对象对应的权重和模糊向量，得到所述网络系统的威胁态势评估结果，实现了从每个评估对象出发对网络系统的网络威胁态势进行评估。

本申请一实施例中，所述评估装置13用于：

对每个所述评估对象对应的权重和模糊向量进行模糊变换，得到所述网络系统中的各威胁评估等级对应的评估比重；

对每个所述威胁评估等级对应的评估比重及其对应预设的评估值进行模糊变换，得到所述网络系统的威胁态势评估结果。

例如，所述步骤是13中对每个所述评估对象对应的权重a＝{w1，w2，w3，w4，w5，w6，w7和w8}和每个评估对象对应的模糊向量r1、r2、…..、r7和r8进行模糊变换，即b＝aor，aor代表权重向量和模糊矩阵之间的模糊运算，其中，b代表模糊变换求出的结果，得到模糊变换后的结果为：b＝{b1，b2，b3，b4，b5}，其中，b1代表对所述网络系统的威胁评估等级为vl的评估程度(即评估比重)，b2代表对所述网络系统的威胁评估等级为l的评估程度(即评估比重)，b3代表对所述网络系统的威胁评估等级为m的评估程度(即评估比重)，b4代表对所述网络系统的威胁评估等级为h的评估程度(即评估比重)，和b5代表对所述网络系统的威胁评估等级为vh的评估程度(即评估比重)，实现对所述网络系统中的各个评估对象之间的权重向量和模糊矩阵之间的模糊变换。

接着本申请的上述实施例，所述评估装置13对网络系统中的威胁评估等级的评估程度越高时对应的威胁评估等级对应的评估比重赋予对应的较高的预设的评估值，对于所述网络系统中的各威胁评估等级对应的评估比重b＝{b1，b2，b3，b4，b5}，对应的预设的评估值为：m＝{v1，v2，v3，v4，v5}，其中，v1代表b1对应的预设的评估值，…..，v5代表b5对应的预设的评估值。在本申请一优选实施例中，将m优选为m＝{1，2，3，4，5}，例如，b5代表对所述网络系统的威胁评估等级为vh的评估程度(即评估比重)越高，其b5对应的预设的评估值v5＝5的值越大，将所述威胁评估等级对应的评估比重b＝{b1，b2，b3，b4，b5}及其对应预设的评估值m＝{1，2，3，4，5}进行模糊变换，即t＝bom，得到一个代表所述网络设备当前的网络威胁态势的威胁态势评估结果t，即网络威胁态势值，实现对网络系统进行网络威胁态势的评估。

综上所述，本申请通过获取网络系统中的待评估的网络检测数据；对所述待评估的网络检测数据进行预处理，得到用于网络威胁态势评估的目标网络检测数据；最后对所述目标网络检测数据进行网络威胁态势评估，得到所述网络系统的威胁态势评估结果，不仅避免了人为对待评估的网络检测数据进行采集与处理的人力物力的消耗，还提高了对需要进行评估的目标网络检测数据进行网络威胁态势评估的评估效率，同时，由于进行网络威胁态势评估的目标网络检测数据是对所述待评估的网络检测数据进行预处理之后得到的，不仅保证了用于网络威胁态势评估的目标网络检测数据的准确度，还使得得到的威胁态势评估结果能够准确地反映网络系统当下的网络威胁态势，在实现对网络系统进行网络威胁态势的智能评估的同时，提高了对网络系统进行网络威胁态势评估的准确度。

此外，根据本申请的另一方面，还提供了一种基于计算的设备，包括：

处理器；以及

被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器：

获取网络系统中的待评估的网络检测数据；

对所述待评估的网络检测数据进行预处理，得到目标网络检测数据；

对所述目标网络检测数据进行网络威胁态势评估，得到所述网络系统的威胁态势评估结果。

根据本申请的另一方面，还提供了一种存储可执行指令的非暂态计算机可读存储介质，在所述可执行指令由电子设备执行时，使得所述电子设备：

获取网络系统中的待评估的网络检测数据；

对所述待评估的网络检测数据进行预处理，得到目标网络检测数据；

对所述目标网络检测数据进行网络威胁态势评估，得到所述网络系统的威胁态势评估结果。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

需要注意的是，本申请可在软件和/或软件与硬件的组合体中被实施，例如，可采用专用集成电路(asic)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中，本申请的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地，本申请的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中，例如，ram存储器，磁或光驱动器或软磁盘及类似设备。另外，本申请的一些步骤或功能可采用硬件来实现，例如，作为与处理器配合从而执行各个步骤或功能的电路。

另外，本申请的一部分可被应用为计算机程序产品，例如计算机程序指令，当其被计算机执行时，通过该计算机的操作，可以调用或提供根据本申请的方法和/或技术方案。而调用本申请的方法的程序指令，可能被存储在固定的或可移动的记录介质中，和/或通过广播或其他信号承载媒体中的数据流而被传输，和/或被存储在根据所述程序指令运行的计算机设备的工作存储器中。在此，根据本申请的一个实施例包括一个装置，该装置包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器，其中，当该计算机程序指令被该处理器执行时，触发该装置运行基于前述根据本申请的多个实施例的方法和/或技术方案。

对于本领域技术人员而言，显然本申请不限于上述示范性实施例的细节，而且在不背离本申请的精神或基本特征的情况下，能够以其他的具体形式实现本申请。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本申请的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外，显然“包括”一词不排除其他单元或步骤，单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一，第二等词语用来表示名称，而并不表示任何特定的顺序。