1、態(tài)勢(shì)感知（SituationAwareness）這一概念源于航天飛行的人因（HumanFactors）研究，此后在軍事戰(zhàn)場(chǎng)、核反應(yīng)控制、空中交通監(jiān)管（AirTrafficControl，ATC）以及醫(yī)療應(yīng)急調(diào)度等領(lǐng)域被廣泛地研究。態(tài)勢(shì)感知之所以越來(lái)越成為一項(xiàng)熱門(mén)研究課題，是因?yàn)樵趧?dòng)態(tài)復(fù)雜的環(huán)境中，決策者需要借助態(tài)勢(shì)感知工具顯示當(dāng)前環(huán)境的連續(xù)變化狀況，才能準(zhǔn)確地做出決策。近年來(lái)態(tài)勢(shì)感知也被用于網(wǎng)絡(luò)安全的研究領(lǐng)域，稱為網(wǎng)絡(luò)安全態(tài)勢(shì)感知（Ne

2、tworkSecuritySituationAwareness，NSSA）。 當(dāng)前，網(wǎng)絡(luò)安全管理人員為獲得計(jì)算機(jī)網(wǎng)絡(luò)中攻擊的高級(jí)描述，需要處理來(lái)自IDS、防火墻、防病毒軟件，以及漏洞掃描器等安全工具所產(chǎn)生的大量報(bào)警信息。報(bào)警量大、不相關(guān)報(bào)警多，使得安全管理人員面對(duì)大量報(bào)警信息很難了解系統(tǒng)的安全威脅狀況，不能及時(shí)采取合適的響應(yīng)措施，NSSA可有效地解決此問(wèn)題。本文在態(tài)勢(shì)感知三級(jí)模型的基礎(chǔ)上提出了基于多源數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢(shì)功能模

3、型，接著沿著一條主線展開(kāi)：多源報(bào)警信息輸入→報(bào)警提煉→網(wǎng)絡(luò)安全態(tài)勢(shì)輸出→攻擊發(fā)生之后網(wǎng)絡(luò)可生存性評(píng)估研究。從而完成了從報(bào)警的產(chǎn)生到攻擊分析，到態(tài)勢(shì)輸出，再到網(wǎng)絡(luò)的可生存性評(píng)估，給安全管理人員提供了一個(gè)高層次的，可理解的當(dāng)前網(wǎng)絡(luò)狀態(tài)的一個(gè)完整的結(jié)果。為達(dá)到此目的，主要從三個(gè)方面進(jìn)行研究： 第一，多源數(shù)據(jù)報(bào)警相關(guān)性方法的研究。對(duì)CPN（ColoredPetriNet）進(jìn)行擴(kuò)充，增加了反映安全工具報(bào)警信息的觀測(cè)集，形成了ECPN（Ex

4、tendedColoredPetriNet），并對(duì)它進(jìn)行形式化的描述與圖形建模；提出了基于ECPN攻擊場(chǎng)景的構(gòu)建關(guān)聯(lián)算法ECPN—Scenario—Constructor以及攻擊動(dòng)作提取算法Multistep—Abstract；通過(guò)對(duì)DARPA 2000入侵場(chǎng)景關(guān)聯(lián)評(píng)測(cè)數(shù)據(jù)集進(jìn)行實(shí)驗(yàn)，可以對(duì)報(bào)警進(jìn)行有效的關(guān)聯(lián)，及早的發(fā)現(xiàn)攻擊者的攻擊策略。 第二，基于數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究。本文分析安全態(tài)勢(shì)在風(fēng)險(xiǎn)評(píng)估中的作用，通過(guò)形式化

5、的方法從三個(gè)層次描述了安全態(tài)勢(shì)：態(tài)勢(shì)特征的提取、當(dāng)前態(tài)勢(shì)的理解、下一步態(tài)勢(shì)行為的預(yù)測(cè)。應(yīng)用D—S證據(jù)從橫向和縱向兩個(gè)方面對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)元素進(jìn)行融合。橫向融合主要解決不同安全工具針對(duì)同一攻擊事件的報(bào)警，從而可以減少攻擊的報(bào)警數(shù)量，增加攻擊的可信度。橫向融合的結(jié)果作為縱向融合的輸入，縱向融和研究多傳感器相關(guān)性算法對(duì)多步復(fù)雜攻擊行為進(jìn)行相關(guān)，并用Petrl網(wǎng)描述攻擊發(fā)生時(shí)系統(tǒng)狀態(tài)的改變，根據(jù)攻擊事件的到達(dá)分析網(wǎng)絡(luò)當(dāng)前的安全態(tài)勢(shì)。 第三

6、，攻擊發(fā)生之后網(wǎng)絡(luò)可生存性的研究。網(wǎng)絡(luò)可生存性被作為評(píng)價(jià)參數(shù)對(duì)網(wǎng)絡(luò)將來(lái)的態(tài)勢(shì)進(jìn)行預(yù)測(cè)，用對(duì)象Petri網(wǎng)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行了形式化的描述與建模，接著構(gòu)建了系統(tǒng)的攻擊失效模型，用模糊推理方法對(duì)系統(tǒng)在攻擊發(fā)生時(shí)狀態(tài)的變化進(jìn)行了描述，然后在此基礎(chǔ)上對(duì)攻擊行為的嚴(yán)重程度和服務(wù)等級(jí)進(jìn)行了有效量化，提出了分布式系統(tǒng)可生存的評(píng)價(jià)參數(shù)，最后用PCTL（Probabilistic real time Computation Tree Logic）描述了系統(tǒng)的