CN116582316A - 一种基于大数据的计算机网络数字化监测预警系统及方法 - Google Patents

Abstract

本发明公开了一种基于大数据的计算机网络数字化监测预警系统及方法，属于计算机安全监测技术领域。对实现功能的行为进行操作信息的分析，通过行为的表现特征来体现计算机系统功能或性能的稳定情况；构建行为的表现特征数字化迭代模型，计算行为迭代的显性程度，进而分析行为的规律性；计算波动稳定值，进行显性行为和隐性行为的两类划分，进而反馈行为规律的变化特征；结合大数据，计算在显性行为下隐性行为出现的条件概率，进而将显性行为和隐性行为融合分析，体现风险的全局特性和局部联动或相互扰动特性；进而对计算机系统的功能和性能是否受到攻击而造成受阻或缺陷进行预警，防止计算机被攻击的同时保证计算机网络系统的稳定运行。

Description

一种基于大数据的计算机网络数字化监测预警系统及方法

技术领域

本发明涉及计算机安全监测技术领域，具体为一种基于大数据的计算机网络数字化监测预警系统及方法。

背景技术

由于计算机网络多样的连接形式、不均匀的终端分布，以及网络的开放性和互联性等特征，使通过互联网传输的数据较易受到监听、截获和攻击；伴随着虚拟化、大数据和云计算技术等各种网络新技术广泛而深入的应用，如今网络安全问题已经和几乎所有传统的安全问题相关联，如，银行、证券、交通、电力和城市运行等；

现有技术中，对计算机网络安全的监测，往往依托各种漏洞或病毒查杀软件进行危险抵御，但是病毒或攻击方式也存在不断的进化或改变的情况，进而加大了计算机网络安全监测的难度；

计算机网络安全监测目的在于对网络技术安全进行实时感知，对外来入侵进行及时预警，以保障计算机网络系统的安全运行，其本质是保证计算机网络系统的功能或性能的安全与稳定。

发明内容

本发明的目的在于提供一种基于大数据的计算机网络数字化监测预警系统及方法，以解决上述背景技术中提出的问题。

为了解决上述技术问题，本发明提供如下技术方案：

一种基于大数据的计算机网络数字化监测预警系统，本系统包括：特征挖掘模块、特征迭代处理模块、行为分析模块和监测预警模块；

所述特征挖掘模块，用于获取计算机网络系统实现的所有功能和实现功能的所有行为，并生成功能实现集合；对功能实现集合中每一个行为进行操作信息的分析，根据操作信息，记录每一次操作的数据流特征，并生成行为的表现特征集合；

所述特征迭代处理模块，用于随机化一组时间节点步长，将时间节点步长在监测周期中进行排列映射；根据节点时间步长和操作信息，生成迭代的步长流特征集，构建行为的表现特征数字化迭代模型，计算行为迭代的显性程度；

所述行为分析模块，根据行为迭代的显性程度，计算行为的波动稳定值；根据行为的波动稳定值，对监测周期内的所有行为进行显性行为和隐性行为的两类划分，并分别生成显性行为集合和隐性行为集合；

所述监测预警模块，用于结合大数据，根据显性行为集合和隐性行为集合，计算监测周期内计算机网络的数字化监测预警值，所述数字化监测预警值等于在显性行为集合下隐性行为集合出现的条件概率；根据数字化监测预警值，对计算机网络进行实时监测预警，并输出预警提示。

进一步的，所述特征挖掘模块还包括数据采集单元和特征处理单元；

所述数据采集单元，用于分别对计算机网络系统实现的所有功能和实现功能的所有行为进行统筹和编号；对实现任意一个计算机功能的行为进行识别，并生成功能实现集合，记为FI_i＝{O₁，O₂，...，O_n}，其中，FI_i表示任意一个计算机功能对应生成的功能实现集合，i表示任意一个计算机功能的编号，n表示行为编号，O_n表示第n个行为；

所述特征处理单元，根据功能实现集合，获取功能实现集合中任意一个行为O_j的操作信息，其中，j表示行为编号，所述操作信息包括操作时间、操作源IP、操作目的IP和操作协议，其中，一个操作时间对应一次操作；对任意一次操作的数据流特征进行记录，将所述数据流特征表示为：T_k→PF_k：(A，B，C)，其中，T_k表示第k次操作对应的操作时间，PF_k表示第k次操作的数据流特征，A、B和C分别表示第k次操作对应的操作源IP、操作目的IP和操作协议；根据每一次操作的数据流特征，生成每一个行为的表现特征集合，记为PFS_ij＝{PF₁，PF₂，...，PF_m}，其中，PFS_ij表示实现任意一个计算机功能i的任意一个行为O_j的表现特征集合，PF₁，PF₂，...，PF_m分别表示任意一个行为O_j包含的第1，2，...，m次操作的数据流特征，j表示行为编号。

进一步的，所述特征迭代处理模块还包括节点映射单元和特征迭代单元；

所述节点映射单元，用于在第S个监测周期内，随机化一组时间节点步长，将所述一组时间节点步长中任意一个时间节点步长记为TNSL_w，其中，w表示任意一个时间节点步长的序号，且所有时间节点步长的累计和等于第S个监测周期的总时长，按照时间节点步长的序号，依次在第S个监测周期内对时间节点步长进行排列映射；

所述特征迭代单元，根据时间节点步长和操作时间，获取任意一个时间节点步长TNSL_w内的所有数据流特征，并进行去重处理，去重处理后生成第w次迭代的步长流特征集SS(TNSL_w)；

构建行为的表现特征数字化迭代模型，计算行为O_j在第w次迭代的显性程度，具体计算公式如下：

DD(j|w)＝∑_i＝1 ^INUM[PFS_ij∩SS(TNSL_w)]/∑_i＝1 ^I∑_j＝1 ^JNUM[PFS_ij∩SS(TNSL_w)]

其中，DD(j|w)表示行为O_j在第w次迭代的显性程度，I表示功能总数，J表示行为总数，NUM[PFS_ij∩SS(TNSL_w)]表示表现特征集合PFS_ij与步长流特征集SS(TNSL_w)的交集中包含的数据流特征总数，且NUM[PFS_ij∩SS(TNSL_w)]≦n；

令w＝w+1，返回行为的表现特征数字化迭代模型；

当w＝v时，停止迭代，其中v表示时间节点步长的总数。

进一步的，所述行为分析模块还包括波动稳定性处理单元和行为划分标记单元；

所述波动稳定性处理单元，根据行为O_j在第w次迭代的显性程度，计算行为O_j的波动稳定值，具体计算公式如下：

VSV(O_j)＝(v-1)^-1*∑_w＝1 ^v[DD(j|w)-v^-1*∑_w＝1 ^vDD(j|w)]²

其中，VSV(O_j)表示行为O_j的波动稳定值；

所述行为划分标记单元，预设波动稳定值阈值，如果行为O_j的波动稳定值大于等于波动稳定值阈值，则将行为O_j标记为显性行为；将第S个监测周期内所有的显性行为生成显性行为集合，记为EB_S，将第S个监测周期内除显性行为外的全部行为标记为隐性行为，并生成隐性行为集合，记为HB_S。

进一步的，所述监测预警模块还包括数字化监测处理单元和预警提示单元；

所述数字化监测处理单元，根据第S个监测周期内的显性行为集合和隐性行为集合，计算第S个监测周期内计算机网络的数字化监测预警值，具体计算公式如下：

EWV_S＝P(HB_S|EB_S)＝P(EB_S|HB_S)*P(HB_S)/P(EB_S)

其中，EWV_S表示第S个监测周期内计算机网络的数字化监测预警值，P(HB_S|EB_S)表示在显性行为集合EB_S下隐性行为集合HB_S出现的条件概率，P(EB_S|HB_S)表示在隐性行为集合HB_S下显性行为集合EB_S出现的条件概率，P(HB_S)和P(EB_S)分别表示隐性行为集合和显性行为集合出现的概率；

P(EB_S|HB_S)*P(HB_S)＝P(HB_S)*Π_O(X)∈EB(S)P(O_X|HB_S)，[O(X)＝O_X，EB(S)＝EB_S]

其中，P(O_X|HB_S)表示在隐性行为集合HB_S下显性行为集合EB_S中任意一个行为O_X出现的概率，X表示行为编号；

P(HB_S)＝[(S-1)*NUM(HB_S)]^-1*∑_Q＝1 ^S-1∑_O(Y)∈HB(S)F(if：O_Y∈HB_Q)，[O(Y)＝O_Y，HB(S)＝HB_S]

P(EB_S)＝[(S-1)*NUM(EB_S)]^-1*∑_Q＝1 ^S-1∑_O(D)∈EB(S)F(if：O_D∈EB_Q)，[O(D)＝O_D，EB(S)＝EB_S]

P(O_X|HB_S)＝[(S-1)*NUM(EB_S)]^-1*∑_{O(X)∈EB(S)，Q∈[1，S-1]}F(if：且O_X∈EB_Q)，[O(X)＝O_X，

EB(S)＝EB_S]

其中，HB_Q和EB_Q分别表示前S个监测周期中任意一个监测周期Q对应生成的隐性行为集合和显性行为集合，Y、D表示行为编号，NUM(HB_S)和NUM(EB_S)分别表示显性行为集合EB_S和隐性行为集合HB_S中包含的行为数量；

如果行为O_Y存在在隐性行为集合HB_Q中，则令F(if：O_Y∈HB_Q)＝1，否则令F(if：O_Y∈HB_Q)＝0；

如果行为O_D存在在显性行为集合EB_Q中，则令F(if：O_D∈EB_Q)＝1，否则令F(if：O_D∈EB_Q)＝0；

如果隐性行为集合HB_S与隐性行为集合HB_Q的交集不等于空集且行为O_X存在在显性行为集合EB_Q中，则令F(if：且O_X∈EB_Q)＝1，否则令F(if：/>且O_X∈EB_Q)＝0；

所述预警提示单元，预设预警值阈值，如果第S个监测周期内计算机网络的数字化监测预警值大于等于预警值阈值，则发出预警提示。

一种基于大数据的计算机网络数字化监测预警方法，本方法包括以下步骤：

步骤S100：获取计算机网络系统实现的所有功能和实现功能的所有行为，并生成功能实现集合；对功能实现集合中每一个行为进行操作信息的分析，根据操作信息，记录每一次操作的数据流特征，并生成行为的表现特征集合；

步骤S200：随机化一组时间节点步长，将时间节点步长在监测周期中进行排列映射；根据节点时间步长和操作信息，生成迭代的步长流特征集，构建行为的表现特征数字化迭代模型，计算行为迭代的显性程度；

步骤S300：根据行为迭代的显性程度，计算行为的波动稳定值；根据行为的波动稳定值，对监测周期内的所有行为进行显性行为和隐性行为的两类划分，并分别生成显性行为集合和隐性行为集合；

步骤S400：结合大数据，根据显性行为集合和隐性行为集合，计算监测周期内计算机网络的数字化监测预警值，所述数字化监测预警值等于在显性行为集合下隐性行为集合出现的条件概率；根据数字化监测预警值，对计算机网络进行实时监测预警，并输出预警提示。

进一步的，所述步骤S100的具体实施过程包括：

步骤S101：分别对计算机网络系统实现的所有功能和实现功能的所有行为进行统筹和编号；对实现任意一个计算机功能的行为进行识别，并生成功能实现集合，记为FI_i＝{O₁，O₂，...，O_n}，其中，FI_i表示任意一个计算机功能对应生成的功能实现集合，i表示任意一个计算机功能的编号，n表示行为编号，O_n表示第n个行为；

步骤S102：根据功能实现集合，获取功能实现集合中任意一个行为O_j的操作信息，其中，j表示行为编号，所述操作信息包括操作时间、操作源IP、操作目的IP和操作协议，其中，一个操作时间对应一次操作；对任意一次操作的数据流特征进行记录，将所述数据流特征表示为：T_k→PF_k：(A，B，C)，其中，T_k表示第k次操作对应的操作时间，PF_k表示第k次操作的数据流特征，A、B和C分别表示第k次操作对应的操作源IP、操作目的IP和操作协议；根据每一次操作的数据流特征，生成每一个行为的表现特征集合，记为PFS_ij＝{PF₁，PF₂，...，PF_m}，其中，PFS_ij表示实现任意一个计算机功能i的任意一个行为O_j的表现特征集合，PF₁，PF₂，...，PF_m分别表示任意一个行为O_j包含的第1，2，...，m次操作的数据流特征，j表示行为编号；

根据上述方法，一台计算机能够实现很多功能，同时也存在多个行为来完成一个功能，且一个行为中往往也包含多个操作，这些操作有的可以单独完成一个功能，有的可以通过操作串联或并联组合，即操作步骤来完成一个功能；进而不同的行为，体现了计算机网络系统的性能，行为冗杂会影响计算机网络系统的性能表现，同时不同的操作也反馈了完成功能的行为规范性，操作信息的异常能够反馈出计算机网络系统的行为存在被攻击的可能；在计算机网络系统安全监测方面，当系统受到危险攻击时，能够通过日志来调取操作信息，通过操作信息能够反馈攻击的行为，进而本申请发明通过监测操作和行为，来分析计算机系统的安全问题，进而对计算机系统的功能和性能是否受到攻击而造成受阻或缺陷进行预警，为计算机安全漏洞的修补提供参考，进而保证计算机网络系统的稳定运行；生成功能实现集合和行为的表现特征集合，结合数据流底层信息进行分析，进而判断系统是否存在安全风险，以及是否符合计算机网络系统中规定的功能和性能要求。

进一步的，所述步骤S200的具体实施过程包括：

步骤S201：在第S个监测周期内，随机化一组时间节点步长，将所述一组时间节点步长中任意一个时间节点步长记为TNSL_w，其中，w表示任意一个时间节点步长的序号，且所有时间节点步长的累计和等于第S个监测周期的总时长，按照时间节点步长的序号，依次在第S个监测周期内对时间节点步长进行排列映射；

步骤S202：根据时间节点步长和操作时间，获取任意一个时间节点步长TNSL_w内的所有数据流特征，并进行去重处理，去重处理后生成第w次迭代的步长流特征集SS(TNSL_w)；

构建行为的表现特征数字化迭代模型，计算行为O_j在第w次迭代的显性程度，具体计算公式如下：

DD(j|w)＝∑_i＝1 ^INUM[PFS_ij∩SS(TNSL_w)]/∑_i＝1 ^I∑_j＝1 ^JNUM[PFS_ij∩SS(TNSL_w)]

其中，DD(j|w)表示行为O_j在第w次迭代的显性程度，I表示功能总数，J表示行为总数，NUM[PFS_ij∩SS(TNSL_w)]表示表现特征集合PFS_ij与步长流特征集SS(TNSL_w)的交集中包含的数据流特征总数，且NUM[PFS_ij∩SS(TNSL_w)]≦n；

令w＝w+1，返回行为的表现特征数字化迭代模型；

当w＝v时，停止迭代，其中v表示时间节点步长的总数；

根据上述方法，在一个监测周期内随机化一组时间节点步长，能够通过随机化的设置，将一个监测周期内的行为表现特征打乱分析，保证数据分析的公平性；同时在随机性和公平性基础上，再通过行为的表现特征数字化迭代模型，分析行为的规律性，进而计算出显性程度，不同迭代中的步长流特征集不同，进而行为在每次迭代中呈现的规律性不同，即显性程度不同，显现程度越大表示行为的特征越明显。

进一步的，所述步骤S300的具体实施过程包括：

步骤S301：根据行为O_j在第w次迭代的显性程度，计算行为O_j的波动稳定值，具体计算公式如下：

VSV(O_j)＝(v-1)^-1*∑_w＝1 ^v[DD(j|w)-v^-1*∑_w＝1 ^vDD(j|w)]²

其中，VSV(O_j)表示行为O_j的波动稳定值；

步骤S302：预设波动稳定值阈值，如果行为O_j的波动稳定值大于等于波动稳定值阈值，则将行为O_j标记为显性行为；将第S个监测周期内所有的显性行为生成显性行为集合，记为EB_S，将第S个监测周期内除显性行为外的全部行为标记为隐性行为，并生成隐性行为集合，记为HB_S；

根据上述方法，结合整个监测周期内的全部迭代情况，进一步分析行为的波动稳定性，行为的波动稳定值越大表示该行为作为显性行为越具有代表性，进而对监测周期内的所有行为进行显性行为和隐性行为的两类划分，并分别生成显性行为集合和隐性行为集合；波动稳定性反馈行为规律的变化特征，即显现特征是规律的，存在异常的可能性小，相反隐性特征存在的异常可能性大。

进一步的，所述步骤S400的具体实施过程包括：

步骤S401：根据第S个监测周期内的显性行为集合和隐性行为集合，计算第S个监测周期内计算机网络的数字化监测预警值，具体计算公式如下：

EWV_S＝P(HB_S|EB_S)＝P(EB_S|HB_S)*P(HB_S)/P(EB_S)

其中，EWV_S表示第S个监测周期内计算机网络的数字化监测预警值，P(HB_S|EB_S)表示在显性行为集合EB_S下隐性行为集合HB_S出现的条件概率，P(EB_S|HB_S)表示在隐性行为集合HB_S下显性行为集合EB_S出现的条件概率，P(HB_S)和P(EB_S)分别表示隐性行为集合和显性行为集合出现的概率；

P(EB_S|HB_S)*P(HB_S)＝P(HB_S)*Π_O(X)∈EB(S)P(O_X|HB_S)，[O(X)＝O_X，EB(S)＝EB_S]

其中，P(O_X|HB_S)表示在隐性行为集合HB_S下显性行为集合EB_S中任意一个行为O_X出现的概率，X表示行为编号；

P(HB_S)＝[(S-1)*NUM(HB_S)]^-1*∑_Q＝1 ^S-1∑_O(Y)∈HB(S)F(if：O_Y∈HB_Q)，[O(Y)＝O_Y，HB(S)＝HB_S]

P(EB_S)＝[(S-1)*NUM(EB_S)]^-1*∑_Q＝1 ^S-1∑_O(D)∈EB(S)F(if：O_D∈EB_Q)，[O(D)＝O_D，EB(S)＝EB_S]

P(O_X|HB_S)＝[(S-1)*NUM(EB_S)]^-1*∑_{O(X)∈EB(S)，Q∈[1，S-1]}F(if：且O_X∈EB_Q)，[O(X)＝O_X，

EB(S)＝EB_S]

其中，HB_Q和EB_Q分别表示前S个监测周期中任意一个监测周期Q对应生成的隐性行为集合和显性行为集合，Y、D表示行为编号，NUM(HB_S)和NUM(EB_S)分别表示显性行为集合EB_S和隐性行为集合HB_S中包含的行为数量；

如果行为O_Y存在在隐性行为集合HB_Q中，则令F(if：O_Y∈HB_Q)＝1，否则令F(if：O_Y∈HB_Q)＝0；

如果行为O_D存在在显性行为集合EB_Q中，则令F(if：O_D∈EB_Q)＝1，否则令F(if：O_D∈EB_Q)＝0；

如果隐性行为集合HB_S与隐性行为集合HB_Q的交集不等于空集且行为O_X存在在显性行为集合EB_Q中，则令F(if：且O_X∈EB_Q)＝1，否则令F(if：/>且O_X∈EB_Q)＝0；

步骤S402：预设预警值阈值，如果第S个监测周期内计算机网络的数字化监测预警值大于等于预警值阈值，则发出预警提示；

根据上述方法，行为在不同的监测周期内呈现出显性和隐性的交替变化，正是在这种交替变化中，反馈了行为上不同程度的风险性，如果一个行为在一个监测周期中是显性行为，但是在其他监测周期中表现出不同的隐性行为或显性行为特征，则该行为在很大程度上存在安全隐患；同时，由于数据流的交互性和联动性，在一个监测周期内，显性行为占比很多，而隐性行为占比很少，则计算机网络系统整体上存在风险的可能性小，进而结合大数据，分析在显性行为集合EB_S下隐性行为集合HB_S出现的条件概率，将显性行为和隐性行为融合分析，计算出计算机网络的数字化监测预警值，预警值越大表示计算机网络系统的风险程度越大，依托大数据分析风险的全局特性，并且在大数据中，依托显性行为和隐性行为融合特点，分析风险的局部联动或相互扰动特性。

与现有技术相比，本发明所达到的有益效果是：本发明提供的一种基于大数据的计算机网络数字化监测预警系统及方法中，对实现功能的行为进行操作信息的分析，通过行为的表现特征来体现计算机系统功能或性能的稳定情况；构建行为的表现特征数字化迭代模型，计算行为迭代的显性程度，进而分析行为的规律性；计算波动稳定值，进行显性行为和隐性行为的两类划分，进而反馈行为规律的变化特征；结合大数据，计算在显性行为下隐性行为出现的条件概率，进而将显性行为和隐性行为融合分析，体现风险的全局特性和局部联动或相互扰动特性；进而对计算机系统的功能和性能是否受到攻击而造成受阻或缺陷进行预警，防止计算机被攻击的同时保证计算机网络系统的稳定运行。

附图说明

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并且不构成对本发明的限制。在附图中：

图1是本发明一种基于大数据的计算机网络数字化监测预警系统的结构示意图；

图2是本发明一种基于大数据的计算机网络数字化监测预警方法的步骤示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1-图2，本发明提供技术方案：

请参阅图1，在本实施例一中：提供一种基于大数据的计算机网络数字化监测预警系统，该系统包括：特征挖掘模块、特征迭代处理模块、行为分析模块和监测预警模块；

特征挖掘模块，用于获取计算机网络系统实现的所有功能和实现功能的所有行为，并生成功能实现集合；对功能实现集合中每一个行为进行操作信息的分析，根据操作信息，记录每一次操作的数据流特征，并生成行为的表现特征集合；

其中，特征挖掘模块还包括数据采集单元和特征处理单元；

数据采集单元，用于分别对计算机网络系统实现的所有功能和实现功能的所有行为进行统筹和编号；对实现任意一个计算机功能的行为进行识别，并生成功能实现集合，记为FI_i＝{O₁，O₂，...，O_n}，其中，FI_i表示任意一个计算机功能对应生成的功能实现集合，i表示任意一个计算机功能的编号，n表示行为编号，O_n表示第n个行为；

特征处理单元，根据功能实现集合，获取功能实现集合中任意一个行为O_j的操作信息，其中，j表示行为编号，操作信息包括操作时间、操作源IP、操作目的IP和操作协议，其中，一个操作时间对应一次操作；对任意一次操作的数据流特征进行记录，将数据流特征表示为：T_k→PF_k：(A，B，C)，其中，T_k表示第k次操作对应的操作时间，PF_k表示第k次操作的数据流特征，A、B和C分别表示第k次操作对应的操作源IP、操作目的IP和操作协议；根据每一次操作的数据流特征，生成每一个行为的表现特征集合，记为PFS_ij＝{PF₁，PF₂，...，PF_m}，其中，PFS_ij表示实现任意一个计算机功能i的任意一个行为O_j的表现特征集合，PF₁，PF₂，...，PF_m分别表示任意一个行为O_j包含的第1，2，...，m次操作的数据流特征，j表示行为编号；

特征迭代处理模块，用于随机化一组时间节点步长，将时间节点步长在监测周期中进行排列映射；根据节点时间步长和操作信息，生成迭代的步长流特征集，构建行为的表现特征数字化迭代模型，计算行为迭代的显性程度；

其中，特征迭代处理模块还包括节点映射单元和特征迭代单元；

节点映射单元，用于在第S个监测周期内，随机化一组时间节点步长，将一组时间节点步长中任意一个时间节点步长记为TNSL_w，其中，w表示任意一个时间节点步长的序号，且所有时间节点步长的累计和等于第S个监测周期的总时长，按照时间节点步长的序号，依次在第S个监测周期内对时间节点步长进行排列映射；

特征迭代单元，根据时间节点步长和操作时间，获取任意一个时间节点步长TNSL_w内的所有数据流特征，并进行去重处理，去重处理后生成第w次迭代的步长流特征集SS(TNSL_w)；

构建行为的表现特征数字化迭代模型，计算行为O_j在第w次迭代的显性程度，具体计算公式如下：

DD(j|w)＝∑_i＝1 ^INUM[PFS_ij∩SS(TNSL_w)]/∑_i＝1 ^I∑_j＝1 ^JNUM[PFS_ij∩SS(TNSL_w)]

其中，DD(j|w)表示行为O_j在第w次迭代的显性程度，I表示功能总数，J表示行为总数，NUM[PFS_ij∩SS(TNSL_w)]表示表现特征集合PFS_ij与步长流特征集SS(TNSL_w)的交集中包含的数据流特征总数，且NUM[PFS_ij∩SS(TNSL_w)]≦n；

令w＝w+1，返回行为的表现特征数字化迭代模型；

当w＝v时，停止迭代，其中v表示时间节点步长的总数；

行为分析模块，根据行为迭代的显性程度，计算行为的波动稳定值；根据行为的波动稳定值，对监测周期内的所有行为进行显性行为和隐性行为的两类划分，并分别生成显性行为集合和隐性行为集合；

其中，行为分析模块还包括波动稳定性处理单元和行为划分标记单元；

波动稳定性处理单元，根据行为O_j在第w次迭代的显性程度，计算行为O_j的波动稳定值，具体计算公式如下：

VSV(O_j)＝(v-1)^-1*∑_w＝1 ^v[DD(j|w)-v^-1*∑_w＝1 ^vDD(j|w)]²

其中，VSV(O_j)表示行为O_j的波动稳定值；

行为划分标记单元，预设波动稳定值阈值，如果行为O_j的波动稳定值大于等于波动稳定值阈值，则将行为O_j标记为显性行为；将第S个监测周期内所有的显性行为生成显性行为集合，记为EB_S，将第S个监测周期内除显性行为外的全部行为标记为隐性行为，并生成隐性行为集合，记为HB_S；

监测预警模块，用于结合大数据，根据显性行为集合和隐性行为集合，计算监测周期内计算机网络的数字化监测预警值，数字化监测预警值等于在显性行为集合下隐性行为集合出现的条件概率；根据数字化监测预警值，对计算机网络进行实时监测预警，并输出预警提示；

其中，监测预警模块还包括数字化监测处理单元和预警提示单元；

数字化监测处理单元，根据第S个监测周期内的显性行为集合和隐性行为集合，计算第S个监测周期内计算机网络的数字化监测预警值，具体计算公式如下：

EWV_S＝P(HB_S|EB_S)＝P(EB_S|HB_S)*P(HB_S)/P(EB_S)

其中，EWV_S表示第S个监测周期内计算机网络的数字化监测预警值，P(HB_S|EB_S)表示在显性行为集合EB_S下隐性行为集合HB_S出现的条件概率，P(EB_S|HB_S)表示在隐性行为集合HB_S下显性行为集合EB_S出现的条件概率，P(HB_S)和P(EB_S)分别表示隐性行为集合和显性行为集合出现的概率；

P(EB_S|HB_S)*P(HB_S)＝P(HB_S)*Π_O(X)∈EB(S)P(O_X|HB_S)，[O(X)＝O_X，EB(S)＝EB_S]

其中，P(O_X|HB_S)表示在隐性行为集合HB_S下显性行为集合EB_S中任意一个行为O_X出现的概率，X表示行为编号；

P(HB_S)＝[(S-1)*NUM(HB_S)]^-1*∑_Q＝1 ^S-1∑_O(Y)∈HB(S)F(if：O_Y∈HB_Q)，[O(Y)＝O_Y，HB(S)＝HB_S]

P(EB_S)＝[(S-1)*NUM(EB_S)]^-1*∑_Q＝1 ^S-1∑_O(D)∈EB(S)F(if：O_D∈EB_Q)，[O(D)＝O_D，EB(S)＝EB_S]

P(O_X|HB_S)＝[(S-1)*NUM(EB_S)]^-1*∑_{O(X)∈EB(S)，Q∈[1，S-1]}F(if：且O_X∈EB_Q)，[O(X)＝O_X，

EB(S)＝EB_S]

其中，HB_Q和EB_Q分别表示前S个监测周期中任意一个监测周期Q对应生成的隐性行为集合和显性行为集合，Y、D表示行为编号，NUM(HB_S)和NUM(EB_S)分别表示显性行为集合EB_S和隐性行为集合HB_S中包含的行为数量；

如果行为O_Y存在在隐性行为集合HB_Q中，则令F(if：O_Y∈HB_Q)＝1，否则令F(if：O_Y∈HB_Q)＝0；

如果行为O_D存在在显性行为集合EB_Q中，则令F(if：O_D∈EB_Q)＝1，否则令F(if：O_D∈EB_Q)＝0；

如果隐性行为集合HB_S与隐性行为集合HB_Q的交集不等于空集且行为O_X存在在显性行为集合EB_Q中，则令F(if：且O_X∈EB_Q)＝1，否则令F(if：/>且O_X∈EB_Q)＝0；

预警提示单元，预设预警值阈值，如果第S个监测周期内计算机网络的数字化监测预警值大于等于预警值阈值，则发出预警提示。

请参阅图2，在本实施例二中：提供一种基于大数据的计算机网络数字化监测预警方法，该方法包括以下步骤：

获取计算机网络系统实现的所有功能和实现功能的所有行为，并生成功能实现集合；对功能实现集合中每一个行为进行操作信息的分析，根据操作信息，记录每一次操作的数据流特征，并生成行为的表现特征集合；

分别对计算机网络系统实现的所有功能和实现功能的所有行为进行统筹和编号；对实现任意一个计算机功能的行为进行识别，并生成功能实现集合，记为FI_i＝{O₁，O₂，...，O_n}，其中，FI_i表示任意一个计算机功能对应生成的功能实现集合，i表示任意一个计算机功能的编号，n表示行为编号，O_n表示第n个行为；

根据功能实现集合，获取功能实现集合中任意一个行为O_j的操作信息，其中，j表示行为编号，操作信息包括操作时间、操作源IP、操作目的IP和操作协议，其中，一个操作时间对应一次操作；对任意一次操作的数据流特征进行记录，将数据流特征表示为：T_k→PF_k：(A，B，C)，其中，T_k表示第k次操作对应的操作时间，PF_k表示第k次操作的数据流特征，A、B和C分别表示第k次操作对应的操作源IP、操作目的IP和操作协议；根据每一次操作的数据流特征，生成每一个行为的表现特征集合，记为PFS_ij＝{PF₁，PF₂，...，PF_m}，其中，PFS_ij表示实现任意一个计算机功能i的任意一个行为O_j的表现特征集合，PF₁，PF₂，...，PF_m分别表示任意一个行为O_j包含的第1，2，...，m次操作的数据流特征，j表示行为编号；

例如，对某个计算机网络系统进行监测，得到该个计算机网络系统共能实现的功能有{权限修改功能，数据删除功能，错误操作提示功能，数据校验恢复功能，远程操控功能，人机交互功能}，其中，实现数据校对恢复功能的行为有{云端下载行为，存储库调用行为}，且云端下载行为有{操作1，操作2，操作3}，操作1的数据流特征有{数据流特征1，数据流特征2}，数据流特征1对应的操作信息为：(源IP1，目的IP2，操作协议1)，操作协议1为tcp协议类型；

随机化一组时间节点步长，将时间节点步长在监测周期中进行排列映射；根据节点时间步长和操作信息，生成迭代的步长流特征集，构建行为的表现特征数字化迭代模型，计算行为迭代的显性程度；

在第S个监测周期内，随机化一组时间节点步长，将一组时间节点步长中任意一个时间节点步长记为TNSL_w，其中，w表示任意一个时间节点步长的序号，且所有时间节点步长的累计和等于第S个监测周期的总时长，按照时间节点步长的序号，依次在第S个监测周期内对时间节点步长进行排列映射；

根据时间节点步长和操作时间，获取任意一个时间节点步长TNSL_w内的所有数据流特征，并进行去重处理，去重处理后生成第w次迭代的步长流特征集SS(TNSL_w)；

构建行为的表现特征数字化迭代模型，计算行为O_j在第w次迭代的显性程度，具体计算公式如下：

DD(j|w)＝∑_i＝1 ^INUM[PFS_ij∩SS(TNSL_w)]/∑_i＝1 ^I∑_j＝1 ^JNUM[PFS_ij∩SS(TNSL_w)]

其中，DD(j|w)表示行为O_j在第w次迭代的显性程度，I表示功能总数，J表示行为总数，NUM[PFS_ij∩SS(TNSL_w)]表示表现特征集合PFS_ij与步长流特征集SS(TNSL_w)的交集中包含的数据流特征总数，且NUM[PFS_ij∩SS(TNSL_w)]≦n；

令w＝w+1，返回行为的表现特征数字化迭代模型；

当w＝v时，停止迭代，其中v表示时间节点步长的总数；

例如，当前为第5个监测周期，对第5个监测周期随机化一组时间节点步长，并进行排列映射，得到第5个监测周期内共有10个时间节点步长，第5个监测周期的起点时间加上第1个时间节点步长后的时间记为第一个时间节点步长的结束时间，同时第一个时间节点步长的结束时间为第2时间节点步长的起点时间，进而所有时间节点步长的累计和等于第S个监测周期的总时长；同时在第1个节点时间步长范围内，结合操作时间，将在第1个节点时间步长范围内的操作时间对应的数据流进行统计并去重，生成第1次迭代的步长流特征集SS(TNSL₁)；

在第1次迭代中，获取功能1中行为1对应表现特征集合PFS₁₁，得到NUM[PFS₁₁∩

SS(TNSL₁)]＝2，获取功能2中行为1对应表现特征集合PFS₂₁，得到NUM[PFS₂₁∩SS(TNSL₁)]＝1；则∑_i＝1 ²NUM[PFS_i1∩SS(TNSL₁)]＝2+1＝3；

在第1次迭代中，获取功能1中行为2对应表现特征集合PFS₁₂，得到NUM[PFS₁₂∩

SS(TNSL₁)]＝1，则∑_j＝1 ²NUM[PFS_1j∩SS(TNSL₁)]＝2+1＝3；获取功能2中行为2对应表现特征集合PFS₂₂，得到NUM[PFS₂₂∩SS(TNSL₁)]＝1，则∑_j＝1 ²NUM[PFS_2j∩SS(TNSL₁)]＝1+1＝2；则∑_i＝1 ²∑_j＝1 ²NUM[PFS_ij∩SS(TNSL₁)]＝3+2＝5；

在第1次迭代中，则DD(1|1)＝3/5＝0.6，即行为1在第1次迭代中的显性程度为0.6；

令w＝1+1＝2，返回行为的表现特征数字化迭代模型，计算行为1在第2次迭代中的显性程度DD(1|2)；

根据行为迭代的显性程度，计算行为的波动稳定值；根据行为的波动稳定值，对监测周期内的所有行为进行显性行为和隐性行为的两类划分，并分别生成显性行为集合和隐性行为集合；

根据行为O_j在第w次迭代的显性程度，计算行为O_j的波动稳定值，具体计算公式如下：

VSV(O_j)＝(v-1)^-1*∑_w＝1 ^v[DD(j|w)-v^-1*∑_w＝1 ^vDD(j|w)]²

其中，VSV(O_j)表示行为O_j的波动稳定值；

预设波动稳定值阈值，如果行为O_j的波动稳定值大于等于波动稳定值阈值，则将行为O_j标记为显性行为；将第S个监测周期内所有的显性行为生成显性行为集合，记为EB_S，将第S个监测周期内除显性行为外的全部行为标记为隐性行为，并生成隐性行为集合，记为HB_S；

结合大数据，根据显性行为集合和隐性行为集合，计算监测周期内计算机网络的数字化监测预警值，数字化监测预警值等于在显性行为集合下隐性行为集合出现的条件概率；根据数字化监测预警值，对计算机网络进行实时监测预警，并输出预警提示；

根据第S个监测周期内的显性行为集合和隐性行为集合，计算第S个监测周期内计算机网络的数字化监测预警值，具体计算公式如下：

EWV_S＝P(HB_S|EB_S)＝P(EB_S|HB_S)*P(HB_S)/P(EB_S)

其中，EWV_S表示第S个监测周期内计算机网络的数字化监测预警值，P(HB_S|EB_S)表示在显性行为集合EB_S下隐性行为集合HB_S出现的条件概率，P(EB_S|HB_S)表示在隐性行为集合HB_S下显性行为集合EB_S出现的条件概率，P(HB_S)和P(EB_S)分别表示隐性行为集合和显性行为集合出现的概率；

P(EB_S|HB_S)*P(HB_S)＝P(HB_S)*Π_O(X)∈EB(S)P(O_X|HB_S)，[O(X)＝O_X，EB(S)＝EB_S]

其中，P(O_X|HB_S)表示在隐性行为集合HB_S下显性行为集合EB_S中任意一个行为O_X出现的概率，X表示行为编号；

P(HB_S)＝[(S-1)*NUM(HB_S)]^-1*∑_Q＝1 ^S-1∑_O(Y)∈HB(S)F(if：O_Y∈HB_Q)，[O(Y)＝O_Y，HB(S)＝HB_S]

P(EB_S)＝[(S-1)*NUM(EB_S)]^-1*∑_Q＝1 ^S-1∑_O(D)∈EB(S)F(if：O_D∈EB_Q)，[O(D)＝O_D，EB(S)＝EB_S]

P(O_X|HB_S)＝[(S-1)*NUM(EB_S)]^-1*∑_{O(X)∈EB(S)，Q∈[1，S-1]}F(if：且O_X∈EB_Q)，[O(X)＝O_X，

EB(S)＝EB_S]

其中，HB_Q和EB_Q分别表示前S个监测周期中任意一个监测周期Q对应生成的隐性行为集合和显性行为集合，Y、D表示行为编号，NUM(HB_S)和NUM(EB_S)分别表示显性行为集合EB_S和隐性行为集合HB_S中包含的行为数量；

如果行为O_Y存在在隐性行为集合HB_Q中，则令F(if：O_Y∈HB_Q)＝1，否则令F(if：O_Y∈HB_Q)＝0；

如果行为O_D存在在显性行为集合EB_Q中，则令F(if：O_D∈EB_Q)＝1，否则令F(if：O_D∈EB_Q)＝0；

如果隐性行为集合HB_S与隐性行为集合HB_Q的交集不等于空集且行为O_X存在在显性行为集合EB_Q中，则令F(if：且O_X∈EB_Q)＝1，否则令F(if：/>且O_X∈EB_Q)＝0；

例如，对第5个监测周期内的所有行为进行显性行为和隐性行为的两类划分，共得到显性行为集合有{行为1，行为2}，隐性行为集合有{行为3，行为4}；

对第4个监测周期内的所有行为进行显性行为和隐性行为的两类划分，共得到显性行为集合有{行为1，行为3}，隐性集合有{行为2，行为3}；

对第3个监测周期内的所有行为进行显性行为和隐性行为的两类划分，共得到显性行为集合有{行为2，行为4}，隐性集合有{行为1，行为3}；

隐性行为集合HB₅中行为3存在在隐性行为集合HB₄中，则F(if：O₃∈HB₄)＝1，隐性行为集合HB₅中行为4不存在在隐性行为集合HB₄中，则F(if：O₄∈HB₄)＝0，∑_O(Y)∈HB(S)F(if：O_Y∈HB₄)＝1；

隐性行为集合HB₅中行为3存在在隐性行为集合HB₃中，则F(if：O₃∈HB₃)＝1，隐性行为集合HB₅中行为4不存在在隐性行为集合HB₃中，则F(if：O₄∈HB₃)＝0，∑_O(Y)∈HB(S)F(if：O_Y∈HB₃)＝1；

则∑_Q＝1 ^S-1∑_O(Y)∈HB(S)F(if：O_Y∈HB_Q)＝∑_Q＝3 ⁴∑_O(Y)∈HB(S)F(if：O_Y∈HB_Q)＝1+1＝2；

隐性行为集合HB₅与隐性行为集合HB₄的交集不等于空集且行为1存在在显性行为集合EB₄中，则F(if：且O₁∈EB₄)＝1；隐性行为集合HB₅与隐性行为集合HB₄的交集不等于空集且行为2不存在在显性行为集合EB₄中，则F(if：/>且/>)＝0；

隐性行为集合HB₅与隐性行为集合HB₃的交集不等于空集且行为1不存在在显性行为集合EB₃中，则F(if：且/>)＝0；隐性行为集合HB₅与隐性行为集合HB₃的交集不等于空集且行为2存在在显性行为集合EB₃中，则F(if：/>且O₂∈EB₃)＝1；

则，∑_{O(X)∈EB(S)，Q∈[3，4]}F(if：且O_X∈EB_Q)＝1+0+0+1＝2。

预设预警值阈值，如果第S个监测周期内计算机网络的数字化监测预警值大于等于预警值阈值，则发出预警提示。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。

最后应说明的是：以上所述仅为本发明的优选实施例而已，并且不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于大数据的计算机网络数字化监测预警方法，其特征在于，该方法包括以下步骤：

步骤S100：获取计算机网络系统实现的所有功能和实现功能的所有行为，并生成功能实现集合；对功能实现集合中每一个行为进行操作信息的分析，根据操作信息，记录每一次操作的数据流特征，并生成行为的表现特征集合；

步骤S200：随机化一组时间节点步长，将时间节点步长在监测周期中进行排列映射；根据节点时间步长和操作信息，生成迭代的步长流特征集，构建行为的表现特征数字化迭代模型，计算行为迭代的显性程度；

步骤S300：根据行为迭代的显性程度，计算行为的波动稳定值；根据行为的波动稳定值，对监测周期内的所有行为进行显性行为和隐性行为的两类划分，并分别生成显性行为集合和隐性行为集合；

步骤S400：结合大数据，根据显性行为集合和隐性行为集合，计算监测周期内计算机网络的数字化监测预警值，所述数字化监测预警值等于在显性行为集合下隐性行为集合出现的条件概率；根据数字化监测预警值，对计算机网络进行实时监测预警，并输出预警提示。

2.根据权利要求1所述的一种基于大数据的计算机网络数字化监测预警方法，其特征在于，所述步骤S100的具体实施过程包括：

步骤S101：分别对计算机网络系统实现的所有功能和实现功能的所有行为进行统筹和编号；对实现任意一个计算机功能的行为进行识别，并生成功能实现集合，记为FI_i＝{O₁，O₂，...，O_n}，其中，FI_i表示任意一个计算机功能对应生成的功能实现集合，i表示任意一个计算机功能的编号，n表示行为编号，O_n表示第n个行为；

步骤S102：根据功能实现集合，获取功能实现集合中任意一个行为O_j的操作信息，其中，j表示行为编号，所述操作信息包括操作时间、操作源IP、操作目的IP和操作协议，其中，一个操作时间对应一次操作；对任意一次操作的数据流特征进行记录，将所述数据流特征表示为：T_k→PF_k：(A，B，C)，其中，T_k表示第k次操作对应的操作时间，PF_k表示第k次操作的数据流特征，A、B和C分别表示第k次操作对应的操作源IP、操作目的IP和操作协议；根据每一次操作的数据流特征，生成每一个行为的表现特征集合，记为PFS_ij＝{PF₁，PF₂，...，PF_m}，其中，PFS_ij表示实现任意一个计算机功能i的任意一个行为O_j的表现特征集合，PF₁，PF₂，...，PF_m分别表示任意一个行为O_j包含的第1，2，...，m次操作的数据流特征，j表示行为编号。

3.根据权利要求2所述的一种基于大数据的计算机网络数字化监测预警方法，其特征在于，所述步骤S200的具体实施过程包括：

步骤S201：在第S个监测周期内，随机化一组时间节点步长，将所述一组时间节点步长中任意一个时间节点步长记为TNSL_w，其中，w表示任意一个时间节点步长的序号，且所有时间节点步长的累计和等于第S个监测周期的总时长，按照时间节点步长的序号，依次在第S个监测周期内对时间节点步长进行排列映射；

步骤S202：根据时间节点步长和操作时间，获取任意一个时间节点步长TNSL_w内的所有数据流特征，并进行去重处理，去重处理后生成第w次迭代的步长流特征集SS(TNSL_w)；

构建行为的表现特征数字化迭代模型，计算行为O_j在第w次迭代的显性程度，具体计算公式如下：

DD(j|w)＝∑_i＝1 ^INUM[PFS_ij∩SS(TNSL_w)]/∑_i＝1 ^I∑_j＝1 ^JNUM[PFS_ij∩SS(TNSL_w)]

其中，DD(j|w)表示行为O_j在第w次迭代的显性程度，I表示功能总数，J表示行为总数，NUM[PFS_ij∩SS(TNSL_w)]表示表现特征集合PFS_ij与步长流特征集SS(TNSL_w)的交集中包含的数据流特征总数，且NUM[PFS_ij∩SS(TNSL_w)]≦n；

令w＝w+1，返回行为的表现特征数字化迭代模型；

当w＝v时，停止迭代，其中v表示时间节点步长的总数。

4.根据权利要求3所述的一种基于大数据的计算机网络数字化监测预警方法，其特征在于，所述步骤S300的具体实施过程包括：

步骤S301：根据行为O_j在第w次迭代的显性程度，计算行为O_j的波动稳定值，具体计算公式如下：

VSV(O_j)＝(v-1)^-1*∑_w＝1 ^v[DD(j|w)-v^-1*∑_w＝1 ^vDD(j|w)]²

其中，VSV(O_j)表示行为O_j的波动稳定值；

步骤S302：预设波动稳定值阈值，如果行为O_j的波动稳定值大于等于波动稳定值阈值，则将行为O_j标记为显性行为；将第S个监测周期内所有的显性行为生成显性行为集合，记为EB_S，将第S个监测周期内除显性行为外的全部行为标记为隐性行为，并生成隐性行为集合，记为HB_S。

5.根据权利要求4所述的一种基于大数据的计算机网络数字化监测预警方法，其特征在于，所述步骤S400的具体实施过程包括：

步骤S401：根据第S个监测周期内的显性行为集合和隐性行为集合，计算第S个监测周期内计算机网络的数字化监测预警值，具体计算公式如下：

EWV_S＝P(HB_S|EB_S)＝P(EB_S|HB_S)*P(HB_S)/P(EB_S)

其中，EWV_S表示第S个监测周期内计算机网络的数字化监测预警值，P(HB_S|EB_S)表示在显性行为集合EB_S下隐性行为集合HB_S出现的条件概率，P(EB_S|HB_S)表示在隐性行为集合HB_S下显性行为集合EB_S出现的条件概率，P(HB_S)和P(EB_S)分别表示隐性行为集合和显性行为集合出现的概率；

P(EB_S|HB_S)*P(HB_S)＝P(HB_S)*Π_O(X)∈EB(S)P(O_X|HB_S)，[O(X)＝O_X，EB(S)＝EB_S]

其中，P(O_X|HB_S)表示在隐性行为集合HB_S下显性行为集合EB_S中任意一个行为O_X出现的概率，X表示行为编号；

P(HB_S)＝[(S-1)*NUM(HB_S)]^-1*∑_Q＝1 ^S-1∑_O(Y)∈HB(S)F(if：O_Y∈HB_Q)，[O(Y)＝O_Y，HB(S)＝HB_S]

P(EB_S)＝[(S-1)*NUM(EB_S)]^-1*∑_Q＝1 ^S-1∑_O(D)∈EB(S)F(if：O_D∈EB_Q)，[O(D)＝O_D，EB(S)＝EB_S]

其中，HB_Q和EB_Q分别表示前S个监测周期中任意一个监测周期Q对应生成的隐性行为集合和显性行为集合，Y、D表示行为编号，NUM(HB_S)和NUM(EB_S)分别表示显性行为集合EB_S和隐性行为集合HB_S中包含的行为数量；

如果行为O_Y存在在隐性行为集合HB_Q中，则令F(if：O_Y∈HB_Q)＝1，否则令F(if：O_Y∈HB_Q)＝0；

如果行为O_D存在在显性行为集合EB_Q中，则令F(if：O_D∈EB_Q)＝1，否则令F(if：O_D∈EB_Q)＝0；

如果隐性行为集合HB_S与隐性行为集合HB_Q的交集不等于空集且行为O_X存在在显性行为集合EB_Q中，则令F(if：且O_X∈EB_Q)＝1，否则令F(if：/>且O_X∈EB_Q)＝0；

步骤S402：预设预警值阈值，如果第S个监测周期内计算机网络的数字化监测预警值大于等于预警值阈值，则发出预警提示。

6.一种基于大数据的计算机网络数字化监测预警系统，其特征在于，所述系统包括：特征挖掘模块、特征迭代处理模块、行为分析模块和监测预警模块；

所述特征挖掘模块，用于获取计算机网络系统实现的所有功能和实现功能的所有行为，并生成功能实现集合；对功能实现集合中每一个行为进行操作信息的分析，根据操作信息，记录每一次操作的数据流特征，并生成行为的表现特征集合；

所述特征迭代处理模块，用于随机化一组时间节点步长，将时间节点步长在监测周期中进行排列映射；根据节点时间步长和操作信息，生成迭代的步长流特征集，构建行为的表现特征数字化迭代模型，计算行为迭代的显性程度；

所述行为分析模块，根据行为迭代的显性程度，计算行为的波动稳定值；根据行为的波动稳定值，对监测周期内的所有行为进行显性行为和隐性行为的两类划分，并分别生成显性行为集合和隐性行为集合；

所述监测预警模块，用于结合大数据，根据显性行为集合和隐性行为集合，计算监测周期内计算机网络的数字化监测预警值，所述数字化监测预警值等于在显性行为集合下隐性行为集合出现的条件概率；根据数字化监测预警值，对计算机网络进行实时监测预警，并输出预警提示。

7.根据权利要求6所述的一种基于大数据的计算机网络数字化监测预警系统，其特征在于：所述特征挖掘模块还包括数据采集单元和特征处理单元；

所述数据采集单元，用于分别对计算机网络系统实现的所有功能和实现功能的所有行为进行统筹和编号；对实现任意一个计算机功能的行为进行识别，并生成功能实现集合，记为FI_i＝{O₁，O₂，...，O_n}，其中，FI_i表示任意一个计算机功能对应生成的功能实现集合，i表示任意一个计算机功能的编号，n表示行为编号，O_n表示第n个行为；

所述特征处理单元，根据功能实现集合，获取功能实现集合中任意一个行为O_j的操作信息，其中，j表示行为编号，所述操作信息包括操作时间、操作源IP、操作目的IP和操作协议，其中，一个操作时间对应一次操作；对任意一次操作的数据流特征进行记录，将所述数据流特征表示为：T_k→PF_k：(A，B，C)，其中，T_k表示第k次操作对应的操作时间，PF_k表示第k次操作的数据流特征，A、B和C分别表示第k次操作对应的操作源IP、操作目的IP和操作协议；根据每一次操作的数据流特征，生成每一个行为的表现特征集合，记为PFS_ij＝{PF₁，PF₂，...，PF_m}，其中，PFS_ij表示实现任意一个计算机功能i的任意一个行为O_j的表现特征集合，PF₁，PF₂，...，PF_m分别表示任意一个行为O_j包含的第1，2，...，m次操作的数据流特征，j表示行为编号。

8.根据权利要求7所述的一种基于大数据的计算机网络数字化监测预警系统，其特征在于：所述特征迭代处理模块还包括节点映射单元和特征迭代单元；

所述节点映射单元，用于在第S个监测周期内，随机化一组时间节点步长，将所述一组时间节点步长中任意一个时间节点步长记为TNSL_w，其中，w表示任意一个时间节点步长的序号，且所有时间节点步长的累计和等于第S个监测周期的总时长，按照时间节点步长的序号，依次在第S个监测周期内对时间节点步长进行排列映射；

所述特征迭代单元，根据时间节点步长和操作时间，获取任意一个时间节点步长TNSL_w内的所有数据流特征，并进行去重处理，去重处理后生成第w次迭代的步长流特征集SS(TNSL_w)；

构建行为的表现特征数字化迭代模型，计算行为O_j在第w次迭代的显性程度，具体计算公式如下：

DD(j|w)＝∑_i＝1 ^INUM[PFS_ij∩SS(TNSL_w)]/∑_i＝1 ^I∑_j＝1 ^JNUM[PFS_ij∩SS(TNSL_w)]

其中，DD(j|w)表示行为O_j在第w次迭代的显性程度，I表示功能总数，J表示行为总数，NUM[PFS_ij∩SS(TNSL_w)]表示表现特征集合PFS_ij与步长流特征集SS(TNSL_w)的交集中包含的数据流特征总数，且NUM[PFS_ij∩SS(TNSL_w)]≦n；

令w＝w+1，返回行为的表现特征数字化迭代模型；

当w＝v时，停止迭代，其中v表示时间节点步长的总数。

9.根据权利要求8所述的一种基于大数据的计算机网络数字化监测预警系统，其特征在于：所述行为分析模块还包括波动稳定性处理单元和行为划分标记单元；

所述波动稳定性处理单元，根据行为O_j在第w次迭代的显性程度，计算行为O_j的波动稳定值，具体计算公式如下：

VSV(O_j)＝(v-1)^-1*∑_w＝1 ^v[DD(j|w)-v^-1*∑_w＝1 ^vDD(j|w)]²

其中，VSV(O_j)表示行为O_j的波动稳定值；

所述行为划分标记单元，预设波动稳定值阈值，如果行为O_j的波动稳定值大于等于波动稳定值阈值，则将行为O_j标记为显性行为；将第S个监测周期内所有的显性行为生成显性行为集合，记为EB_S，将第S个监测周期内除显性行为外的全部行为标记为隐性行为，并生成隐性行为集合，记为HB_S。

10.根据权利要求9所述的一种基于大数据的计算机网络数字化监测预警系统，其特征在于：所述监测预警模块还包括数字化监测处理单元和预警提示单元；

所述数字化监测处理单元，根据第S个监测周期内的显性行为集合和隐性行为集合，计算第S个监测周期内计算机网络的数字化监测预警值，具体计算公式如下：

EWV_S＝P(HB_S|EB_S)＝P(EB_S|HB_S)*P(HB_S)/P(EB_S)

其中，EWV_S表示第S个监测周期内计算机网络的数字化监测预警值，P(HB_S|EB_S)表示在显性行为集合EB_S下隐性行为集合HB_S出现的条件概率，P(EB_S|HB_S)表示在隐性行为集合HB_S下显性行为集合EB_S出现的条件概率，P(HB_S)和P(EB_S)分别表示隐性行为集合和显性行为集合出现的概率；

P(EB_S|HB_S)*P(HB_S)＝P(HB_S)*Π_O(X)∈EB(S)P(O_X|HB_S)，[O(X)＝O_X，EB(S)＝EB_S]

其中，P(O_X|HB_S)表示在隐性行为集合HB_S下显性行为集合EB_S中任意一个行为O_X出现的概率，X表示行为编号；

P(HB_S)＝[(S-1)*NUM(HB_S)]^-1*∑_Q＝1 ^S-1∑_O(Y)∈HB(S)F(if：O_Y∈HB_Q)，[O(Y)＝O_Y，HB(S)＝HB_S]

P(EB_S)＝[(S-1)*NUM(EB_S)]^-1*∑_Q＝1 ^S-1∑_O(D)∈EB(S)F(if：O_D∈EB_Q)，[O(D)＝O_D，EB(S)＝EB_S]

其中，HB_Q和EB_Q分别表示前S个监测周期中任意一个监测周期Q对应生成的隐性行为集合和显性行为集合，Y、D表示行为编号，NUM(HB_S)和NUM(EB_S)分别表示显性行为集合EB_S和隐性行为集合HB_S中包含的行为数量；

如果行为O_Y存在在隐性行为集合HB_Q中，则令F(if：O_Y∈HB_Q)＝1，否则令F(if：O_Y∈HB_Q)＝0；

如果行为O_D存在在显性行为集合EB_Q中，则令F(if：O_D∈EB_Q)＝1，否则令F(if：O_D∈EB_Q)＝0；

如果隐性行为集合HB_S与隐性行为集合HB_Q的交集不等于空集且行为O_X存在在显性行为集合EB_Q中，则令F(if：且O_X∈EB_Q)＝1，否则令F(if：/>且O_X∈EB_Q)＝0；

所述预警提示单元，预设预警值阈值，如果第S个监测周期内计算机网络的数字化监测预警值大于等于预警值阈值，则发出预警提示。