随着计算机网络及其应用的发展,网络面临的安全威胁愈演愈烈,风险越来越大。一方面,攻击手段日益复杂,综合利用系统漏洞、用户疏漏、蠕虫和病毒等进行的网络攻击已司空见惯;另一方面,攻击目标日益广泛,网络端点和网络基础设施等所有可能影响系统应用的各个方面都可能成为攻击的目标。另外,安全事件日益庞大,众多安全设备产生了大量异构安全事件,其中充斥着很多冗余或不可靠信息。只有从这些庞杂的安全事件中挖掘出真正的攻击才能对网络安全做出合理的评估和正确响应。因此,在异构网络环境中设计和实现一个统一、动态的安全管理架构,并进行事件处理的整合和关联的研究就成为当今网络管理和网络安全技术研究的一大热点。针对网络安全管理的现状和问题,提出一种动态自治的网络安全管理架构(DASN)。从全局角度对网络安全状况进行分析、评估与管理。DASN的动态接入模型通过安全节点的代理机制,使DASN网络成为一个动态扩展的边界防御安全网络。DASN网络的自治安全策略模型,有效地避免网络中因不安全的节点接入所带来的潜在风险,并保证整个DASN网络策略的自治,使得各种异构的产品形成的DASN网络按照统一的策略进行工作。本网络架构集系统管理、安全策略定义、配置及实施功能于一体,实现独立于底层安全机制的策略配置管理体系。在DASN网络中使用实时风险评估技术从整体上评估DASN网络所监控的网络和主机的安全态势。对异构网络环境下安全事件的归一化描述问题,提出了基于分布式安全管理代理的安全事件采集、标准化和归约解决方案,为后续的全局安全事件聚类与关联提供了相对精简以及较为准确的初级安全事件流。异构网络中安全事件可以分为两大类——故障事件与告警事件,应采取相应的方法进行采集。通过扩展IDMEF规范,使之适应异构环境下安全事件的描述要求,从而为异构网络的安全管理定制通用的、可扩展的安全事件消息格式,对原始安全事件进行封装。针对重复、错误的安全事件,提出了基于属性约束策略的实时归约算法;根据网络安全的领域知识,引入时间间隔关联窗口,能够较为合理的对元安全事件进行归约。目前异构网络环境下,存在相似的、重复的或者不完整的海量安全事件。通过改进增量式贝叶斯分类算法,提出了面向混合数据类型的安全事件聚类算法,并通过计算混合数据类型的事件属性相似度,能够有效的将大量由异构安全节点产生的特征相同或性质相近的初级安全事件予以融合,生成相应的安全事件簇。基于谓词逻辑的安全事件合并方法,可以将安全事件聚类算法生成的安全事件簇进一步合并为高级安全事件。采用基于模糊等量约束的因果关联算法,能够基于领域知识对安全事件的因果关系进行分析;引入基于模糊等量约束的分析方法,能够在一定程度上解决安全事件的漏报与领域知识的不完备性问题;通过自动生成安全事件的因果关联规则库,并根据相关规则对安全事件进行关联,重构安全威胁场景,以期对当前的安全态势、安全威胁及其重要程度进行全面及时评估提供有力的支持。安全事件管理的聚合和关联模块的时间窗口一直是悬而未决的问题,而小波分析能将时间域上重叠但频率域上不重叠的信号进行分段,不同的频段代表了信号中处于该频段的信号分量,网络流量具有时域中频域重叠的特征,因此,利用小波技术在检测网络异常流量方面的优势来进行异常行为分析,能较好的对网络行为中的各种攻击行为(长程异常和短程异常)进行分析和判别,并确定其发生时间。还将小波分析作为一个辅助工具,对安全事件管理的时间窗口进行分析,通过观察特定网络异常流量不同频率域上的分量,为异常关联时间窗口的选定提供一定的依据,实验分析中取得了较好的效果。根据设计原则与总体架构,DASN系统的多层架构的分布式代理、事件采集流程、通信接口、IDMEF数据解析、聚类与关联以及数据存取等各个子模块的实现各具特色。在算法性能测试与系统集成测试中,DASN系统均得到了较为理想的测试结果,较好地达到了设计要求。