随着网络技术的不断发展和应用范围的不断扩大,网络已成为社会进步的重要推动力量。然而,不断恶化的网络环境使得网络技术所面临的安全问题日益突出,传统的单点单源安全防御系统(如IDS、Firewall、VDS等)虽然在一定程度上提高了网络的安全性,但由于彼此间缺乏有效的协作,无法真正实现全网的整体安全态势监控。网络安全态势感知(Network Security Situational Awareness,NSSA)正是在此需求背景下应运而生的,并迅速成为了网络安全领域的研究热点问题。所谓网络安全态势感知是指在大规模网络环境中,对能够引起网络安全态势发生变化的安全要素进行提取、理解、显示并预测未来发展趋势。目前,课题组对于网络安全态势感知的研究开展了大量工作,取得了大量的研究成果,但是对于系统中异构数据源的研究还不成熟,需要解决面向异构数据源的网络安全态势感知系统的框架模型、数据预处理、量化感知、动态预测等关键技术问题。基于此,本文提出面向异构数据源的网络安全态势感知的研究,并对相关核心技术问题进行了深入探讨。首先,针对现有框架模型存在数据源单一或多源同质、响应延迟大、自我保护性差、稳定性和容错能力差等缺点,借助移动Agent的优点,提出一种面向异构数据源的网络安全态势感知系统框架模型,该框架结构自下而上依次分为信息获取层、数据预处理层、态势决策层,构建了一条从信息获取到量化感知再到态势预测的研究路线,并对每个层次所涉及模块进行了详细设计,建立了一个系统化、动态化、分布式、自适应的网络安全态势框架结构,利用PEPA形式化建模语言对框架模型进行分析,验证了框架模型的合理性,为后续研究内容的开展奠定基础。其次,在框架模型的基础上,为了融合来自异构数据源的网络安全信息,提出一种“三段式”数据预处理方法,包括:基于无向图模型(Undirected Graphs Model,UGM)的数据分类、基于DS (Dempter-Shafer)证据理论的信息融合和证据冲突数据的分类修正。实验结果表明,该方法在数据分类中具有较高的检测精确率和检测速度,不仅能保证分类的精确度,去除不确定性噪声数据带来的不利影响,有效的避免DS信息融合中证据冲突,而且能提高数据分类精度,为下一步的网络安全态势量化感知和预测提供数据支持。再次,研究基于条件随机场的网络安全态势量化感知方法,该方法以态势分类报警信息作为网络安全态势量化感知的要素,结合主机的漏洞和状态,定义网络安全威胁度体现网络风险,并采用网络安全威胁度算法对攻击进行分类,最后生成明确的网络安全态势图,动态地完成整个网络安全状况的量化感知。实验结果表明,所采用的算法检测精度高,能有效地结合漏洞、资产、环境等各因素评估一个报警信息所表示的网络安全威胁程度,准确地对网络攻击进行分类,结果客观真实,能正确地为安全管理人员呈现安全态势,为下一步的网络安全态势预测提供条件。最后,为了更加准确地对网络安全态势进行预测,针对网络安全态势的非线性时间序列特点研究基于Volterra模型的自适应预测方法。该方法根据Takens定理和相空间重构理论建立Volterra模型,实现网络安全态势的动态自适应预测。实验结果表明,该方法选取正确的混沌吸引子邻近轨道,适当的控制训练集的规模,具有较快的收敛速度和较强的逼近能力,能达到较高的预测精度,有效的预测网络安全态势,辅助安全分析人员和管理人员及时调整安全策略。