网络已成为我国重要的信息基础设施，频繁发生的网络安全事件对其构成严重的威胁。为应对网络安全威胁，企业和安全运营商部署了大量网络安全设备。但是，企业和运营商部署的网络安全防护系统大多是局部的、局限于其自身管理域内的，在国家层面和全局层面上缺乏对跨管理域、大规模网络安全态势的全局掌控。因此在现有网络安全基础设施及技术上，构建网络安全态势分析系统，实现对网络安全态势的掌控、评估、预测已成为迫切需求。本文针对网络安全态势分析系统中态势评估的若干关键技术进行研究。网络攻击发生的时候，部署在网络上各个层次的网络安全设备会产生网络安全告警，但是产生的网络安全告警信息往往是海量的。为了帮助网络管理人员更好地理解网络安全状况，及时发现重大的网络安全事件并对其做出响应，降低网络攻击给目标网络带来的损失，因此需要针对如何进行量化的网络安全态势评估，如何面向不同应用需求得到评估指标的重要性，如何对重大网络安全告警进行基于用户偏好的排序等关键技术展开研究。总的来说，本文的主要研究内容和成果包括：1、在网络安全态势评估方法方面，针对现有评估方法在骨干网应用环境下计算量大，实时性、可用性和敏感性不强等问题，提出了一种基于指标体系的网络安全态势评估方法。该方法根据网络攻击发生时对网络要素状态产生的影响，系统归纳了用来反映网络安全状态变化的网络元素，从而形成态势评估因子。采用可配置的思想，针对不同使用环境下网络安全态势评估的不同需求，构建基于指标体系的网络态势评估因子到网络安全态势之间的映射模型。在该模型的基础上通过量化计算的方式得到目标网络安全态势值。针对网络安全态势分析系统部署使用的逻辑和物理环境特点，提出了一种层次式网络安全态势聚合方法。该方法有效地考虑层次式网络中网络协同攻击对网络整体安全态势的影响，提高了态势评估的准确性。实验结果表明基于指标体系的网络安全态势评估方法可以实时有效地反映出底层网络安全状态的变化情况。2、在网络安全评估指标权重搜索方面，针对网络安全态势评估中用户无法精确指定其在告警各个属性指标上权重的问题，提出了一种基于交互的权重搜索算法。该算法的核心思想是利用和用户尽可能少的交互来挖掘用户心目中潜在的偏好，最终目的是帮助用户能够迅速从海量的网络安全告警中评估得到最为严重的k个告警，并针对该用户的偏好自动生成网络安全评估指标的权重。区别于传统的抽样式的方法，本文创新性地提出了代表性权重的选择策略，代表性权重可以极大地降低候选权重集的规模，提高算法的效率。在代表性权重的基础上，提出了一种候选对象集的删减策略，通过尽可能早的删除掉那些不可能出现在结果集中的对象来进一步提高算法的执行效率。在经验式观察的基础上提出了一种最优化对象对的选择策略，通过该选择策略每次返回给用户最优化的对象对来学习用户的偏好，从而加速权重空间的收敛速度。实验结果表明基于交互的权重搜索算法可以通过比较少的交互次数，高效地挖掘得到用户心目中潜在偏好的近似解，进而根据该用户的偏好自动形成网络安全评估指标的权重。3、在网络安全告警排序优化方面，针对用户对系统返回的最严重k个网络安全告警的疑问，提出了一种基于用户反馈的网络安全告警排序优化方法。该方法首先提出了一个评估模型来衡量优化前后的top-k告警的差异性。基于该评估模型函数，使用抽样的方法得到回答用户“为什么”问题的候选权重集合。针对候选权重集合里面的任意权重，通过渐进式top-k算法得到回答用户疑问的最优解。在这个过程中结合评估模型和当前获得的最优解，对渐进式top-k算法中执行步骤的上界进行约束，通过尽可能早的从候选权重集合中约束掉那些不可能得到最优解的权重来提高算法的执行效率。实验结果表明本章所提出的算法具有较高地执行效率。4、设计并实现了网络安全态势分析系统YHSAS。该系统主要由数据采集子系统、数据集成子系统、关联分析子系统、态势评估子系统、态势预测子系统和前端展示子系统构成。基于本文工作实现的网络安全态势评估子系统在网络安全态势分析系统（YHSAS）中发挥着至关重要的作用，通过信息产业部网络与信息安全检测实验室和长沙软件园软件检测实验室的评测表明：在网络安全指标体系方面，YHSAS系统具有可定制、自适应、自反馈、可量化的网络安全指标体系，能够描述目前国家互联网的宏观整体安全态势指标，网络安全指数可以很好反映出底层网络的运行情况，并可以根据不同应用需求自适应调整网络安全指标体系；在重要网络安全事件发现及排序方面，YHSAS系统能够有效检测到扫描类攻击、Dos类攻击等重大网络安全事件，并可以根据用户的偏好对重大网络安全事件进行top-k排序，同时可以根据用户反馈对排序结果进行自适应调整。与此同时，网络安全态势分析系统YHSAS在国家计算机网络应急技术处理协调中心、国家信息中心网络安全部、国家计算机病毒应急处理中心等多家单位进行了在线试运行，在实际运行中有效地验证了本文工作的有效性。