CN117395076A - 基于大数据的网络感知异常检测***与方法 - Google Patents

Abstract

本发明涉及网络异常感知技术领域，用于解决现有的对网络异常感知的方法难以做到对网络的多维度的感知和分析，导致无法精确识别网络中的异常行为和安全事件的问题，具体为基于大数据的网络感知异常检测***与方法，包括云服务器，云服务器通信连接有数据采集单元、云数据库、网络流量异常感知单元、网络行为异常感知单元、网络通信异常感知单元、安全事件异常感知单元和反馈中心。本发明，通过实时监控和分析网络流量、行为、通信状态和安全事件，实现了实时异常反馈、多维度监测和分析，能够及时发现并警报网络中出现的各种异常情况，从而及时采取相应的措施，以保障网络安全。

Description

基于大数据的网络感知异常检测***与方法

技术领域

本发明涉及网络异常感知技术领域，具体为基于大数据的网络感知异常检测***与方法。

背景技术

随着互联网的快速发展和普及，网络安全问题日益突出，各种网络攻击和威胁不断涌现。为了保护网络的安全和稳定运行，网络感知异常检测***成为一项关键技术。传统的网络异常检测主要依靠规则和签名来检测已知的攻击类型，但这种方法无法及时应对未知的新型攻击和零日漏洞。

传统的网络异常感知手段难以做到对网络的多维度的感知和分析，且大都是仅能做到已知的攻击模式进行防范，对于未知或新型的攻击手法很难进行有效防御。同时，传统的网络安全检测方法容易受到攻击者的绕过和规避，无法精确识别网络中的异常行为和安全事件。

为了解决上述缺陷，现提供一种技术方案。

发明内容

本发明的目的在于提供基于大数据的网络感知异常检测***与方法。

本发明的目的可以通过以下技术方案实现：基于大数据的网络感知异常检测***与方法，包括云服务器，云服务器通信连接有数据采集单元、云数据库、网络流量异常感知单元、网络行为异常感知单元、网络通信异常感知单元、安全事件异常感知单元和反馈中心；

所述数据采集单元用于采集目标网络的网络流量参数信息、网络行为参数信息、网络通信参数信息和安全事件参数信息，并将各类型数据发送至云数据库中进行存储；

所述云数据库还用于存储目标网络的安全事件日志、漏洞扫描日志、通信状态判定表及网络风险状态判定表；

所述网络流量异常感知单元用于对目标网络的当前时间段的网络流量参数信息进行监测，由此对目标网络的当前时间段的流量状态进行分析，据此输出流量异常反馈信号和流量正常反馈信号，并通过反馈中心对目标网络的当前时间段的流量状态进行显示说明；

所述网络行为异常感知单元用于对目标网络的当前时间段的网络行为参数信息进行监测，由此对目标网络的网络行为活动状态进行分析，据此输出异常行为活动信号和正常行为活动信号，并通过反馈中心对目标网络的当前时间段的行为活动状态进行显示说明；

所述网络通信异常感知单元用于对目标网络的当前时间段的网络通信参数信息进行监测，由此对目标网络的网络通信状态进行分析，据此输出异常通信信号和正常通信信号，并通过反馈中心对目标网络的当前时间段的通信状态进行显示说明；

所述安全事件异常感知单元用于对目标网络的风险参数信息进行监测，由此对目标网络的风险状态进行分析，据此输出异常风险信号和正常风险信号，并通过反馈中心对目标网络的当前时间段的风险状态进行显示说明。

优选地，所述对目标网络的当前时间段的流量状态进行分析，其具体分析过程如下：

实时监测目标网络在当前时间段下的网络流量参数信息，并从网络流量参数信息中提取目标网络的数据包数量、会话数量和流量速度，并将其分别标记为pn、sn、fr；

从云数据库中提取目标网络对应的参考数据包数量、参考会话数量和参考流量速度，并将其分别标记为；

取目标网络的数据包数量、会话数量、流量速度及参考数据包数量、参考会话数量和参考流量速度的数值，并将各项数据代入设定的数据模型中进行计算分析，依据设定的数据模型：，由此得到当前时间段下目标网络的实时流量评估指数rtt，其中，a1表示为数据包数量与参考数据包数量差的对照值，a2表示为会话数量与参考会话数量差的对照值，a3表示为流量速度与参考流量速度差的对照值，λ1、λ2、λ3分别为权重因子；

将当前时间段下目标网络的实时流量评估指数和设定的流量评估阈值进行对比，若目标网络的实时流量评估指数大于等于流量评估阈值，则判定当前时间段下目标网络的流量状态为正常，并输出流量正常反馈信号，反之，若目标网络的实时流量评估指数小于流量评估阈值，则判定当前时间段下目标网络的流量状态为异常，并输出流量异常反馈信号；

将输出的流量异常反馈信号和流量正常反馈信号通过反馈中心进行显示说明。

优选地，所述对目标网络的网络行为活动状态进行分析，其具体分析过程如下：

截取目标网络的访问时间戳，并由此提取在该访问时间戳下各访问用户在目标网络中的网络行为参数信息；

并从网络行为参数信息中提取到下载量、上传量、发送量、访问频率、登录次数，并将其分别标记为ld_i、ul_i、sa_i、af_i、el_i，其中，i表示为各访问用户的编号，且i=1，2，3……n；

取下载量、上传量、发送量、访问频率、登录次数的数值，并将各项数据代入设定的数据模型中进行计算分析，依据设定的数据模型：，由此得到当前时间段下目标网络的网络行为评估指数nba，其中，e为自然常数，d1、d2分别表示为修正因子；

将当前时间段下目标网络的网络行为评估指数和设定的行为评估阈值进行对比，若目标网络的网络行为评估指数大于行为评估阈值，则判定当前时间段下目标网络的行为状态为异常，并输出异常行为活动信号，反之，若目标网络的网络行为评估指数小于行为评估阈值，则判定当前时间段下目标网络的流量状态为正常，并输出正常行为活动信号；

将输出的异常行为活动信号和正常行为活动信号通过反馈中心进行显示说明。

优选地，所述对目标网络的当前时间段的网络通信参数信息进行监测，其具体监测过程如下：

获取目标网络的节点分布情况，并获取各节点之间的路由跃点数，并将其记作目标网络的各节点间的连通状态值，并将其标记为lt_j，其中，j表示为节点间的编号，且j=1，2，3……m；

获取各节点之间的通信延迟时间及通信响应时间，并将其分别标记为dt_j、rt_j；

监测各节点之间的数据包的丢失率，由此得到目标网络中各节点之间的数据包丢失率，并将其标记为lsr_j；

获取目标网络的链路数据状态，并提取目标网络中各条网络链路的带宽利用率，并将其记作usr_k，其中，k表示为各条网络链路的编号，且k=1，2，3……K；

由此得到目标网络的当前时间段的网络通信参数信息中的连通状态值、通信延迟时间、通信响应时间、数据包丢失率、带宽利用率。

优选地，所述对目标网络的网络通信状态进行分析，其具体分析过程如下：

基于目标网络的当前时间段的网络通信参数信息并进行计算分析，依据设定公式：，由此得到目标网络的当前时间段的网络通信指数ncx，其中，f1、f2表示为修正因子，γ1、γ2为归一因子，/>表示为目标网络中各条网络链路的带宽利用率的参照值，Δusr目标网络中各条网络链路的带宽利用率与对应的参照值之差的参照值；

将目标网络的当前时间段的网络通信指数与存储在云数据库中的通信状态判定表进行对照匹配分析，由此得到目标网络的当前时间段的通信状态，且通信状态包括正常通信状态和异常通信状态，其中，得到的每个网络通信指数均对应一种通信状态；

若输出目标网络的当前时间段的通信状态为正常通信状态时，则生成正常通信信号，并通过反馈中心对目标网络的当前时间段的通信状态进行显示说明；

若输出目标网络的当前时间段的通信状态为异常通信状态时，则生成异常通信信号，并通过反馈中心对目标网络的当前时间段的通信状态进行显示说明。

优选地，所述对目标网络的风险状态进行分析，其具体分析过程如下：

从云数据库中调取目标网络的安全事件日志，并从安全事件日志中提取各类型安全事件，且安全事件包括入侵尝试、异常访问、恶意软件活动，并计算单位时间内出现的各安全事件的概率值，并将其作为目标网络的安全事件发生频率，并将其标记为svf；

从云数据库中调取目标网络的漏洞扫描日志，并从漏洞扫描日志中提取扫描结果，且扫描结果包括无漏洞结果、已知漏洞结果和潜在漏洞结果，并分别计算单位时间内已知漏洞结果和潜在漏洞结果占总扫描结果的比率，由此得到已知漏洞占比值、潜在漏洞占比值，并将其分别标记为kvr、pvr；

由此输出目标网络的风险参数信息中的安全事件发生频率、已知漏洞占比值、潜在漏洞占比值；

依据公式：，计算出目标网络的安全事件风险指数ser，其中，e表示为自然常数，ξ1、ξ2、ξ3分别表示为安全事件发生频率、已知漏洞占比值、潜在漏洞占比值对应的系数因子；

将目标网络的安全事件风险指数与存储在云数据库中的网络风险状态判定表进行对照匹配分析，由此得到目标网络的风险状态，且风险状态包括正常风险状态和异常风险状态，其中，得到的每个安全事件风险指数均对应一种风险状态；

若输出目标网络的当前时间段的风险状态为正常风险状态时，则生成正常风险信号，并通过反馈中心对目标网络的当前时间段的风险状态进行显示说明；

若输出目标网络的当前时间段的风险状态为异常风险状态时，则生成异常风险信号，并通过反馈中心对目标网络的当前时间段的风险状态进行显示说明。

优选地，基于大数据的网络感知异常检测方法，包括以下步骤：

步骤一、采集目标网络的网络流量参数信息、网络行为参数信息、网络通信参数信息和安全事件参数信息；

步骤二、基于采集的目标网络的网络流量参数信息，由此对目标网络的当前时间段的流量状态进行分析；

步骤三、基于采集的目标网络的网络行为参数信息，由此对目标网络的网络行为活动状态进行分析；

步骤四、对目标网络的当前时间段的网络通信参数信息进行监测，由此对目标网络的网络通信状态进行分析；

步骤五、基于采集的目标网络的风险参数信息，由此对目标网络的风险状态进行分析；

步骤六、通过反馈中心对目标网络的当前时间段的流量状态、行为活动状态、通信状态及风险状态进行显示说明。

本发明的有益效果：

本发明，通过对目标网络的网络流量参数信息、网络行为参数信息、网络通信参数信息和安全事件参数信息进行实时监测和分析，能够及时发现并警报网络中出现的各种异常情况，从而及时采取相应的措施，以保障网络安全。

并采用大数据技术进行监控和分析，能够自动收集和存储各种网络参数数据，对网络性能和安全进行精准分析，通过反馈中心向用户提供大量的信息和解决方案，帮助用户快速了解网络状态以及提高网络建设效率。

通过实时监控和分析网络流量、行为、通信状态和安全事件，提供可视化的数据视图和预测分析功能，能够为网络管理员提供有价值的决策参考。同时，它可以帮助管理员更好地规划网络资源，减少网络故障发生的可能性，降低维护成本和提高网络运行的可靠性。

附图说明

下面结合附图对本发明作进一步的说明。

图1是本发明的***框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

请参阅图1所示，本发明为基于大数据的网络感知异常检测***与方法，包括云服务器，云服务器通信连接有数据采集单元、云数据库、网络流量异常感知单元、网络行为异常感知单元、网络通信异常感知单元、安全事件异常感知单元和反馈中心。

数据采集单元用于采集目标网络的网络流量参数信息、网络行为参数信息、网络通信参数信息和安全事件参数信息，并将各类型数据发送至云数据库中进行存储。

云数据库还用于存储目标网络的安全事件日志、漏洞扫描日志、通信状态判定表及网络风险状态判定表。

网络流量异常感知单元用于对目标网络的当前时间段的网络流量参数信息进行监测，由此对目标网络的当前时间段的流量状态进行分析，具体分析过程如下：

实时监测目标网络在当前时间段下的网络流量参数信息，并从网络流量参数信息中提取目标网络的数据包数量、会话数量和流量速度，并将其分别标记为pn、sn、fr；

从云数据库中提取目标网络对应的参考数据包数量、参考会话数量和参考流量速度，并将其分别标记为；

取目标网络的数据包数量、会话数量、流量速度及参考数据包数量、参考会话数量和参考流量速度的数值，并将各项数据代入设定的数据模型中进行计算分析，依据设定的数据模型：，由此得到当前时间段下目标网络的实时流量评估指数rtt，其中，a1表示为数据包数量与参考数据包数量差的对照值，a2表示为会话数量与参考会话数量差的对照值，a3表示为流量速度与参考流量速度差的对照值，λ1、λ2、λ3分别为权重因子；

将当前时间段下目标网络的实时流量评估指数和设定的流量评估阈值进行对比，若目标网络的实时流量评估指数大于等于流量评估阈值，则判定当前时间段下目标网络的流量状态为正常，并输出流量正常反馈信号，反之，若目标网络的实时流量评估指数小于流量评估阈值，则判定当前时间段下目标网络的流量状态为异常，并输出流量异常反馈信号；

将输出的流量异常反馈信号和流量正常反馈信号通过反馈中心进行显示说明。

网络行为异常感知单元用于对目标网络的当前时间段的网络行为参数信息进行监测，由此对目标网络的网络行为活动状态进行分析，具体分析过程如下：

截取目标网络的访问时间戳，并由此提取在该访问时间戳下各访问用户在目标网络中的网络行为参数信息；

并从网络行为参数信息中提取到下载量、上传量、发送量、访问频率、登录次数，并将其分别标记为ld_i、ul_i、sa_i、af_i、el_i，其中，i表示为各访问用户的编号，且i=1，2，3……n；

取下载量、上传量、发送量、访问频率、登录次数的数值，并将各项数据代入设定的数据模型中进行计算分析，依据设定的数据模型：，由此得到当前时间段下目标网络的网络行为评估指数nba，其中，e为自然常数，d1、d2分别表示为修正因子；

将当前时间段下目标网络的网络行为评估指数和设定的行为评估阈值进行对比，若目标网络的网络行为评估指数大于行为评估阈值，则判定当前时间段下目标网络的行为状态为异常，并输出异常行为活动信号，反之，若目标网络的网络行为评估指数小于行为评估阈值，则判定当前时间段下目标网络的流量状态为正常，并输出正常行为活动信号；

将输出的异常行为活动信号和正常行为活动信号通过反馈中心进行显示说明。

网络通信异常感知单元用于对目标网络的当前时间段的网络通信参数信息进行监测，具体监测过程如下：

获取目标网络的节点分布情况，并获取各节点之间的路由跃点数，并将其记作目标网络的各节点间的连通状态值，并将其标记为lt_j，其中，j表示为节点间的编号，且j=1，2，3……m；

获取各节点之间的通信延迟时间及通信响应时间，并将其分别标记为dt_j、rt_j；

监测各节点之间的数据包的丢失率，由此得到目标网络中各节点之间的数据包丢失率，并将其标记为lsr_j；

获取目标网络的链路数据状态，并提取目标网络中各条网络链路的带宽利用率，并将其记作usr_k，其中，k表示为各条网络链路的编号，且k=1，2，3……K；

由此得到目标网络的当前时间段的网络通信参数信息中的连通状态值、通信延迟时间、通信响应时间、数据包丢失率、带宽利用率；

由此对目标网络的网络通信状态进行分析，具体分析过程如下：

基于目标网络的当前时间段的网络通信参数信息并进行计算分析，依据设定公式：，由此得到目标网络的当前时间段的网络通信指数ncx，其中，f1、f2表示为修正因子，γ1、γ2为归一因子，/>表示为目标网络中各条网络链路的带宽利用率的参照值，Δusr目标网络中各条网络链路的带宽利用率与对应的参照值之差的参照值；

将目标网络的当前时间段的网络通信指数与存储在云数据库中的通信状态判定表进行对照匹配分析，由此得到目标网络的当前时间段的通信状态，且通信状态包括正常通信状态和异常通信状态，其中，得到的每个网络通信指数均对应一种通信状态；

若输出目标网络的当前时间段的通信状态为正常通信状态时，则生成正常通信信号，并通过反馈中心对目标网络的当前时间段的通信状态进行显示说明；

若输出目标网络的当前时间段的通信状态为异常通信状态时，则生成异常通信信号，并通过反馈中心对目标网络的当前时间段的通信状态进行显示说明。

安全事件异常感知单元用于对目标网络的风险参数信息进行监测，具体监测过程如下：

从云数据库中调取目标网络的安全事件日志，并从安全事件日志中提取各类型安全事件，且安全事件包括入侵尝试、异常访问、恶意软件活动，并计算单位时间内出现的各安全事件的概率值，并将其作为目标网络的安全事件发生频率，并将其标记为svf；

从云数据库中调取目标网络的漏洞扫描日志，并从漏洞扫描日志中提取扫描结果，且扫描结果包括无漏洞结果、已知漏洞结果和潜在漏洞结果，并分别计算单位时间内已知漏洞结果和潜在漏洞结果占总扫描结果的比率，由此得到已知漏洞占比值、潜在漏洞占比值，并将其分别标记为kvr、pvr；

由此对目标网络的风险状态进行分析，具体分析过程如下：

由此输出目标网络的风险参数信息中的安全事件发生频率、已知漏洞占比值、潜在漏洞占比值；

依据公式：，计算出目标网络的安全事件风险指数ser，其中，e表示为自然常数，ξ1、ξ2、ξ3分别表示为安全事件发生频率、已知漏洞占比值、潜在漏洞占比值对应的系数因子；

将目标网络的安全事件风险指数与存储在云数据库中的网络风险状态判定表进行对照匹配分析，由此得到目标网络的风险状态，且风险状态包括正常风险状态和异常风险状态，其中，得到的每个安全事件风险指数均对应一种风险状态；

若输出目标网络的当前时间段的风险状态为正常风险状态时，则生成正常风险信号，并通过反馈中心对目标网络的当前时间段的风险状态进行显示说明；

若输出目标网络的当前时间段的风险状态为异常风险状态时，则生成异常风险信号，并通过反馈中心对目标网络的当前时间段的风险状态进行显示说明。

本发明在使用时，通过多个感知单元对目标网络的流量、行为、通信和安全事件进行实时监测和分析，能够及时发现网络中的异常情况和潜在威胁，有助于提高网络的安全性。

并能够根据对目标网络的监测结果，输出异常和正常的反馈信号，并通过反馈中心进行显示说明。采用大数据技术进行监控和分析，能够自动收集和存储各种网络参数数据，对网络性能和安全进行精准分析，通过反馈中心向管理端提供大量的信息和解决方案，从而做到及时了解当前时间段的网络状态，快速采取相应的措施应对异常情况，有效减少安全风险。

通过分析目标网络的网络流量、行为、通信和安全事件参数信息，以及安全事件日志、漏洞扫描日志，能够在多个方面对网络进行全面监测和分析，实现对目标网络的多维度监测和分析，进而提供更准确的异常检测和风险评估结果。

综上所述，通过实时监控和分析网络流量、行为、通信状态和安全事件，实现了实时异常反馈、多维度监测和分析，并为网络管理员提供有价值的决策参考。同时，它可以帮助管理员更好地规划网络资源，减少网络故障发生的可能性，降低维护成本和提高网络运行的可靠性。

以上内容仅仅是对本发明结构所作的举例和说明，所属本技术领域的技术人员对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，只要不偏离发明的结构或者超越本权利要求书所定义的范围，均应属于本发明的保护范围。

Claims (7)

1.基于大数据的网络感知异常检测***，其特征在于，包括云服务器，云服务器通信连接有数据采集单元、云数据库、网络流量异常感知单元、网络行为异常感知单元、网络通信异常感知单元、安全事件异常感知单元和反馈中心；

所述数据采集单元用于采集目标网络的网络流量参数信息、网络行为参数信息、网络通信参数信息和安全事件参数信息，并将各类型数据发送至云数据库中进行存储；

所述云数据库还用于存储目标网络的安全事件日志、漏洞扫描日志、通信状态判定表及网络风险状态判定表；

所述网络流量异常感知单元用于对目标网络的当前时间段的网络流量参数信息进行监测，由此对目标网络的当前时间段的流量状态进行分析，据此输出流量异常反馈信号和流量正常反馈信号，并通过反馈中心对目标网络的当前时间段的流量状态进行显示说明；

所述网络行为异常感知单元用于对目标网络的当前时间段的网络行为参数信息进行监测，由此对目标网络的网络行为活动状态进行分析，据此输出异常行为活动信号和正常行为活动信号，并通过反馈中心对目标网络的当前时间段的行为活动状态进行显示说明；

所述网络通信异常感知单元用于对目标网络的当前时间段的网络通信参数信息进行监测，由此对目标网络的网络通信状态进行分析，据此输出异常通信信号和正常通信信号，并通过反馈中心对目标网络的当前时间段的通信状态进行显示说明；

所述安全事件异常感知单元用于对目标网络的风险参数信息进行监测，由此对目标网络的风险状态进行分析，据此输出异常风险信号和正常风险信号，并通过反馈中心对目标网络的当前时间段的风险状态进行显示说明。

2.根据权利要求1所述的基于大数据的网络感知异常检测***，其特征在于，所述对目标网络的当前时间段的流量状态进行分析，其具体分析过程如下：

实时监测目标网络在当前时间段下的网络流量参数信息，并从网络流量参数信息中提取目标网络的数据包数量、会话数量和流量速度，并将其分别标记为pn、sn、fr；

从云数据库中提取目标网络对应的参考数据包数量、参考会话数量和参考流量速度，并将其分别标记为；

取目标网络的数据包数量、会话数量、流量速度及参考数据包数量、参考会话数量和参考流量速度的数值，并将各项数据代入设定的数据模型中进行计算分析，依据设定的数据模型：，由此得到当前时间段下目标网络的实时流量评估指数rtt，其中，a1表示为数据包数量与参考数据包数量差的对照值，a2表示为会话数量与参考会话数量差的对照值，a3表示为流量速度与参考流量速度差的对照值，λ1、λ2、λ3分别为权重因子；

将当前时间段下目标网络的实时流量评估指数和设定的流量评估阈值进行对比，若目标网络的实时流量评估指数大于等于流量评估阈值，则判定当前时间段下目标网络的流量状态为正常，并输出流量正常反馈信号，反之，若目标网络的实时流量评估指数小于流量评估阈值，则判定当前时间段下目标网络的流量状态为异常，并输出流量异常反馈信号；

将输出的流量异常反馈信号和流量正常反馈信号通过反馈中心进行显示说明。

3.根据权利要求1所述的基于大数据的网络感知异常检测***，其特征在于，所述对目标网络的网络行为活动状态进行分析，其具体分析过程如下：

截取目标网络的访问时间戳，并由此提取在该访问时间戳下各访问用户在目标网络中的网络行为参数信息；

并从网络行为参数信息中提取到下载量、上传量、发送量、访问频率、登录次数，并将其分别标记为ld_i、ul_i、sa_i、af_i、el_i，其中，i表示为各访问用户的编号，且i=1，2，3……n；

取下载量、上传量、发送量、访问频率、登录次数的数值，并将各项数据代入设定的数据模型中进行计算分析，依据设定的数据模型：，由此得到当前时间段下目标网络的网络行为评估指数nba，其中，e为自然常数，d1、d2分别表示为修正因子；

将当前时间段下目标网络的网络行为评估指数和设定的行为评估阈值进行对比，若目标网络的网络行为评估指数大于行为评估阈值，则判定当前时间段下目标网络的行为状态为异常，并输出异常行为活动信号，反之，若目标网络的网络行为评估指数小于行为评估阈值，则判定当前时间段下目标网络的流量状态为正常，并输出正常行为活动信号；

将输出的异常行为活动信号和正常行为活动信号通过反馈中心进行显示说明。

4.根据权利要求1所述的基于大数据的网络感知异常检测***，其特征在于，所述对目标网络的当前时间段的网络通信参数信息进行监测，其具体监测过程如下：

获取目标网络的节点分布情况，并获取各节点之间的路由跃点数，并将其记作目标网络的各节点间的连通状态值，并将其标记为lt_j，其中，j表示为节点间的编号，且j=1，2，3……m；

获取各节点之间的通信延迟时间及通信响应时间，并将其分别标记为dt_j、rt_j；

监测各节点之间的数据包的丢失率，由此得到目标网络中各节点之间的数据包丢失率，并将其标记为lsr_j；

获取目标网络的链路数据状态，并提取目标网络中各条网络链路的带宽利用率，并将其记作usr_k，其中，k表示为各条网络链路的编号，且k=1，2，3……K；

由此得到目标网络的当前时间段的网络通信参数信息中的连通状态值、通信延迟时间、通信响应时间、数据包丢失率、带宽利用率。

5.根据权利要求4所述的基于大数据的网络感知异常检测***，其特征在于，所述对目标网络的网络通信状态进行分析，其具体分析过程如下：

基于目标网络的当前时间段的网络通信参数信息并进行计算分析，依据设定公式：，由此得到目标网络的当前时间段的网络通信指数ncx，其中，f1、f2表示为修正因子，γ1、γ2为归一因子，/>表示为目标网络中各条网络链路的带宽利用率的参照值，Δusr目标网络中各条网络链路的带宽利用率与对应的参照值之差的参照值；

将目标网络的当前时间段的网络通信指数与存储在云数据库中的通信状态判定表进行对照匹配分析，由此得到目标网络的当前时间段的通信状态，且通信状态包括正常通信状态和异常通信状态，其中，得到的每个网络通信指数均对应一种通信状态；

若输出目标网络的当前时间段的通信状态为正常通信状态时，则生成正常通信信号，并通过反馈中心对目标网络的当前时间段的通信状态进行显示说明；

若输出目标网络的当前时间段的通信状态为异常通信状态时，则生成异常通信信号，并通过反馈中心对目标网络的当前时间段的通信状态进行显示说明。

6.根据权利要求1所述的基于大数据的网络感知异常检测***，其特征在于，所述对目标网络的风险状态进行分析，其具体分析过程如下：

从云数据库中调取目标网络的安全事件日志，并从安全事件日志中提取各类型安全事件，且安全事件包括入侵尝试、异常访问、恶意软件活动，并计算单位时间内出现的各安全事件的概率值，并将其作为目标网络的安全事件发生频率，并将其标记为svf；

从云数据库中调取目标网络的漏洞扫描日志，并从漏洞扫描日志中提取扫描结果，且扫描结果包括无漏洞结果、已知漏洞结果和潜在漏洞结果，并分别计算单位时间内已知漏洞结果和潜在漏洞结果占总扫描结果的比率，由此得到已知漏洞占比值、潜在漏洞占比值，并将其分别标记为kvr、pvr；

由此输出目标网络的风险参数信息中的安全事件发生频率、已知漏洞占比值、潜在漏洞占比值；

依据公式：，计算出目标网络的安全事件风险指数ser，其中，e表示为自然常数，ξ1、ξ2、ξ3分别表示为安全事件发生频率、已知漏洞占比值、潜在漏洞占比值对应的系数因子；

将目标网络的安全事件风险指数与存储在云数据库中的网络风险状态判定表进行对照匹配分析，由此得到目标网络的风险状态，且风险状态包括正常风险状态和异常风险状态，其中，得到的每个安全事件风险指数均对应一种风险状态；

若输出目标网络的当前时间段的风险状态为正常风险状态时，则生成正常风险信号，并通过反馈中心对目标网络的当前时间段的风险状态进行显示说明；

若输出目标网络的当前时间段的风险状态为异常风险状态时，则生成异常风险信号，并通过反馈中心对目标网络的当前时间段的风险状态进行显示说明。

7.基于大数据的网络感知异常检测方法，其特征在于，包括以下步骤：

步骤一、采集目标网络的网络流量参数信息、网络行为参数信息、网络通信参数信息和安全事件参数信息；

步骤二、基于采集的目标网络的网络流量参数信息，由此对目标网络的当前时间段的流量状态进行分析；

步骤三、基于采集的目标网络的网络行为参数信息，由此对目标网络的网络行为活动状态进行分析；

步骤四、对目标网络的当前时间段的网络通信参数信息进行监测，由此对目标网络的网络通信状态进行分析；

步骤五、基于采集的目标网络的风险参数信息，由此对目标网络的风险状态进行分析；

步骤六、通过反馈中心对目标网络的当前时间段的流量状态、行为活动状态、通信状态及风险状态进行显示说明。