本发明提供了一种网络安全态势分析方法。涉及网络安全领域；解决了现有网络安全态势分析方式准确程度和处理效率低下的问题。A、通过SYSLOG协议和Flow协议采集网络中各设备日志信息，并从中提取IP地址信息，基于地理信息或业务信息对得到的IP地址进行分层，得到多个层级；B、分别计算各层级的地址熵值；C、持续计算全局地址熵的值，以5分钟为时间周期计算地址熵值基准点，以历史较长时间地址熵值基准点数据的集合建立长周期熵值基线，以最近时间的地址熵值基准点数据的集合建立短周期熵值基线；D、将所述全局地址熵的实测值与所述长周期熵值基线和短周期熵值基线的综合偏差度转换为安全态势指标数据；E、当安全态势指标超过预置的阈值时，判定安全态势发生异常，通过各层级地址熵值的对比定位异常。实现了准确高效的安全态势分析。