网络安全态势感知（Network Security Situation Awareness,NSSA）是对网络系统安全状态的认知过程,包括对从系统中测量到的原始数据逐步进行融合处理和实现对系统的背景状态及活动语义的提取,识别出存在的各类网络活动以及其中异常活动的意图,从而获得据此表征的网络安全态势和该态势对网络系统正常行为影响的了解。本文将主干网节点路由器上采集的DNS交互报文及相应的解析IP地址流记录数据作为主要的数据源,进行网络安全态势感知的研究。本文将域名作为观测对象,研究相应解析IP地址的流量行为。这些IP地址在网络中提供资源和服务,本文通过对它们的流量行为进行概括并分类其服务意图来支持网络安全态势感知的实现。本文工作主要包括四个部分,其中前两个部分对应网络安全态势觉察的研究范畴,第三部分对应网络安全态势理解的研究范畴,最后一部分对应网络安全态势投射的研究范畴,具体的研究内容如下。本文第一部分的研究内容为基于AGD（Algorithmically Generated Domain）的恶意域名检测。本文提出一种聚类算法和分类算法相结合的恶意域名检测思路,实现在有限的系统资源下进行高效的恶意域名检测。本文首先定义不同的相似度量标准对观测的AGD域名分别聚类,通过聚类关联识别出同一域名生成算法或变体生成的域名。其次,进行域名的恶意性检测。在恶意性识别过程中,本文不再基于域名的字面特征,而是研究能够有效区分域名恶意性的特征。如:域名的生存时间（Time To Live,TTL）、解析IP地址的分布、whois的更新、完整性及域名的活动历史等特征。最后,选择高效的分类器构建AGD域名的黑白名单。本文第二部分的研究内容为上层DNS层次结构中Fast-Flux域名识别。本文设计了一种在线和离线相结合的两阶段检测算法,辨识出AGD域名中具有Fast-Flux特征的域名,有效解决高检测延时和低检测精度的问题。首先,在在线检测阶段,本文研究并构建短时间可获取的测度集,结合极限学习算法完成快速的检测,缩小了恶意域名的检测逃逸窗口。其次,针对某些无法利用特征来有效区分恶意的Fast-Flux服务网络（Fast-Flux Service Network,FFSN）域名和合法的内容分发网络（Content Delivery Network,CDN）域名的问题,本文研究并定义不同的过滤规则,进一步过滤出恶意的Fast-Flux域名。最后,本文探究利用长期数据可获取的测度组合,设计离线监控算法,有效解决在线检测阶段因过高追求“及早性和及时性”导致高误报率的问题,实现检测效率和检测精度的均衡。本文第三部分的研究内容为主干网IP地址流量行为概括方法。该研究设计了IP地址流量行为描述模型,对IP地址的流量行为进行画像,有效解决了现有流量描述方法在描述粒度和语义方面存在的不足。本文通过分析CERNET主干网中域名对应解析IP地址的流量行为,选择出9个单属性测度和39个双属性测度。这些测度能够从时间、空间、类别及强度四个维度刻画IP地址的流量行为。基于上述测度,本文研究IP地址流量行为特征谱的构建方法,并通过这种特征谱量化描述IP地址流量行为在节律性、周期性、稳定性和服务多样性方面的特征,以达到对这些IP地址进行行为相似性分类的目的,而这种行为分类又达到了对全体观测的IP地址进行行为概括的效果。本文第四部分的研究内容为域名活动的服务意图识别。服务意图是指服务方向谁提供什么服务或什么样的服务,前者是明确服务分类,或者是服务类型或服务行为分类,后者是对服务内容分类,如:购物服务、上传下载服务等。本文通过感知服务的影响力,包括服务范围、强度、服务类别估计和影响形式（提供内容还是实施控制）等,进行服务意图识别,而不是进行传统的服务分类。为了实现本文目标,本文通过观察IP地址的服务范围、通信强度、服务类别估计和影响形式等进行IP地址的相似服务行为发现。然后给出域名活动的服务意图解读方法,推断它们是服务于固定的用户群,还是提供交互式的服务等。最终,我们可以借助影响力追踪一些重要的服务类,为决策者提供更好的决策支持,以达到态势投射的目的。