随着网络的日益复杂，安全威胁也趋于多元化，面对大量格式不一、形式各异的日志和警报，传统的处理方法早已不堪重负，从而衍生出网络安全态势感知，对来自监管设施的多源安全信息进行过滤、融合与抽象，继而预测未来的变化趋势，使管理者对网络的安全状况和演化趋势有一个全面的了解，对复杂多变的安全威胁做出快速响应，以减轻认知与响应压力。接下来剖析现存的问题，介绍本文的工作。同一攻击往往会体现在多种日志或警报中，借助融合决策各检测系统能互相弥补不足、抑制虚警。大多数融合决策方法对训练样本的种类和数量要求过高，未考虑辅助决策的措施，引入了很难被满足的约束条件，当攻击种类较多时存储开销太高。针对这些问题，本文提出了一种基于统计空间映射的多源告警融合决策模型：将警报向量映射至表决模式，以缩小统计空间，降低对训练样本的要求，仅需小规模训练便可达到较好的融合决策效果；依据统计特征的差异动态推断待检测流量的构成情况，持续地跟踪、预测、适应其变化，自主选择抑制漏报或虚警，能达到较好的折中效果；未引入任何违反检测系统相关性的约束条件；支持在线增量训练乃至对先前某些训练的撤销，能通过持续改进来应对初期训练的不足或片面；空间复杂度仅与检测系统的数量有关，而与攻击种类的数量无关，适用于本领域用少数系统检测众多攻击的情况。传统的评估方法大多孤立地看待网络中部署的各种服务，忽略了由弱点或攻击引发、沿依赖关系传递的间接风险或威胁。若攻击者窃取了服务读写数据的权限，就有能力导致数据泄密或损毁，多数方法未予考虑。针对这些问题，本文提出了一种基于扩散分析的态势评估方法：将服务、数据、弱点、攻击等安全要素纳入评估体系，从多个侧面评估安全态势；依据操作系统的管理信息和网络通信的监测记录辨识服务间的依赖关系；从控制权限表和对象权限表中查询服务被授予的读写数据的权限，剖析了权限集被弱点暴露或被攻击窃取后对数据安全性的影响；引入非线性增量叠加方法，合成源自多个弱点或攻击、经由多条路径的风险或威胁，依据资源安全性的价值及其面临的风险或威胁计算出安全态势。本方法将各种服务和数据视为一个高度关联的有机整体，能深入地揭示网络安全状况以及依赖关系、授权关系的影响，得出更为全面、完整、精准、可信的评估结论。针对态势预测的专项研究很少，大多是沿用现有的预测方法，存在以下欠缺：态势序列中蕴含着大量复杂多变的演化趋势，不是靠某个公式、函数或某次训练就能表达及预测的；难以消解训练样本间的冲突，强烈依赖数据预处理和人工介入；不支持增量学习，一旦态势序列发生变化就要重新构建模型。鉴于此，本文提出了一种基于场景拟合的态势预测方法：从形态及精度上度量序列子图间的相似度，使用多阶差分运算辨析趋势差异；从录制的历史态势序列中查找相似的迹象，衡量事发迹象对延续效应的支配强度，依据当前迹象推测某种效应重现的可能性；辅以进化算法，计量预测的偏差，通过逐步微调持续提升适应性。本方法最大限度地保留了序列中蕴含的规律，无需数据预处理，能持续地跟踪、适应态势序列的变化。本文将沿着融合决策、态势评估、态势预测的脉落展开研究，融合决策旨在获得高质量的入侵检测结果，为态势评估奠定基础，而态势评估则为态势预测提供安全态势序列，这三方面将按前后衔接的方式贯穿为一个整体。