根据《中国互联网发展报告》显示,2018年受到攻击的网络设备涉及方方面面,在《DDoS攻击态势报告》中指出,目前存在多种DDoS攻击,发生尤其频繁并且攻击流量巨大,给社会造成极大的损失。为应对网络安全威胁,网络安全态势感知应运而生,通过对网络运行环境进行分析,感知网络安全宏观态势,为网络管理人员维护网络安全提供依据。DDoS攻击、网络扫描等发生时会产生异常网络流,网络流中包含全面的网络信息,因此,对网络流的分析可以实时准确发现网络中存在的安全威胁,便于及时采取防御措施。本文将网络流作为分析的依托,结合现有的网络安全态势感知理论,设计了网络安全态势分析系统,包括网络流数据采集和存储模块、数据分析模块、态势评估模块和态势展示模块,对网络进行全面的态势分析。本文的主要工作如下:(1)提出三维态势指标模型。为了对网络安全态势作出全面的分析,通过分析态势影响因素,在网络安全态势指标构建要求的原则上,提出网络安全态势分析的三维指标模型,包括基本统计信息指标、信息熵指标以及攻击信息指标,分别用于描述网络运行态势、未知攻击态势和已知攻击的态势。(2)提出了基于信息熵的未知攻击检测方法。针对某些攻击发生时引起网络流中不同IP、端口和协议比例变化的原理,通过分析流量特征信息熵趋势变化,检测未知攻击。(3)基于CNN的IDS模型设计。针对几种具体攻击类型,使用CNN网络构建IDS模型,并使用KDD CUP1999数据集进行模型有效性的验证,对DoS等攻击的识别取得良好的效果。(4)提出了宏观网络安全态势评估方法。通过综合信息熵指标和攻击信息指标,构建网络安全态势评估向量,利用RBF神经网络进行评估指标的分类以及态势等级划分,得出宏观的网络安全态势评估等级。(5)网络安全态势分析系统设计与实现。针对上述网络安全态势分析方法,设计并实现基于pypcap的流量采集模块、数据存储模块、三维态势指标分析模块、宏观态势评估模块和网络安全态势可视化模块,达到基于网络流分析感知网络安全态势的目标。