1、隨著互聯(lián)網技術的不斷普及，使得網絡在社會發(fā)展過程中逐漸成為不可或缺的關鍵角色，網絡安全在這種趨勢下受到了越來越多的關注，各類基于安全防御的手段層出不窮，在一定程度上防止了系統(tǒng)遭受安全威脅的可能性，但隨著各類新型攻擊的出現，這些傳統(tǒng)的安全防御手段無法有效的更新防御方案，導致系統(tǒng)仍然存在著潛在的威脅和風險。面對這種嚴峻的形式，網絡安全態(tài)勢感知技術應運而生，成為網絡安全研究領域內的新興熱點。
　　傳統(tǒng)的安全態(tài)勢感知設備以入侵檢測設備、入

2、侵防御設備、防火墻以及主機安全服務為主。通常，這些設備在面對收集具有高利用和分析價值的信息、抽象化網絡安全的特征屬性以及特征化信息分類檢測這一系列復雜任務中表現出比較高的局限性。
　　本文以數據流為研究基礎，從安全態(tài)勢的要素指標確立、安全態(tài)勢評估方法、數據流異常檢測方法、安全態(tài)勢模型的更新方案這四個方面研究了基于多源數據流的網絡安全態(tài)勢感知技術。研究內容有：
　　(1)分析現有的網絡安全態(tài)勢評估方法和模型，使用適用于多源異構

3、數據流特性的層次化分析方法，整合主機要素、鏈路要素和歷史反饋要素三個方面的態(tài)勢要素信息，提出了基于多源數據流分析的網絡安全態(tài)勢評估模型。依據多源數據流分析的要求，著重研究了主機安全態(tài)勢評估方法和鏈路態(tài)勢評估方法；主機層面中，通過引入時間衰減因子改進了原有的 D-S理論從而簡單高效地對主機安全要素進行評估。鏈路安全態(tài)勢方面，轉換了攻擊圖的構建思路，有針對性的利用鏈路的性能指標描述攻擊圖的狀態(tài)節(jié)點，有效的評估了異常數據流對鏈路安全的影響態(tài)勢

4、。
　　(2)根據多源數據流在端點之間數據包傳輸的序列化特性，構造單位時間段內的數據流元組，結合由隱馬爾科夫模型(HMM)改進而來的條件隨機場模型(CRF)對序列化數據流進行分類檢測并實現了部分算法。同時，在檢測方法的概念之上改進了條件隨機場對序列化數據的串行檢測的傳統(tǒng)方案，提出了基于CRF的異常數據流分層并發(fā)檢測框架。實驗分析表明，該方法對異常數據流的分類檢測精度要略好于其他方法，在算法復雜度方面基本適應數據流的實時性要求。

5、r>　　(3)概括了選擇集成學習方法現有的研究現狀，提出了面向異常數據流的多分類器選擇集成方案，該方法主要包括三個步驟：決策輪廓矩陣的構建、整合支持熵，使用差異度度量的方式計算各分類器集合的平均不一致度量，最終得到最優(yōu)的分類器集合。
　　本文的創(chuàng)新點主要包括：
　　(1)在網絡安全態(tài)勢評估方面，使用層次分析法融合各安全態(tài)勢要素，使得安全態(tài)勢評估范圍更加全面。另外，在層次分析的基礎上，從主機和鏈路的角度分別使用改進的D-S理論