随着科技信息化的迅猛发展,如今的社会已经步入大数据时代。网络威胁态势作为网络安全态势感知的一级指标已成为企业安全需要考虑的重要因素,该技术通过提取网络中的资产价值、威胁可利用度、主机安全设备要素等信息对攻击者攻击成功的概率进行评估,为网络安全的管理和决策提供依据。但随着攻击者攻击手段的质变,传统的威胁态势评估技术已经跟不上发展的要求,其因存在安全要素多源异构并且融合度低所导致的告警率低下、过度依赖专家知识所导致的误报率较高、评估方法以静态为主无法实时的响应安全态势等问题已无法适应现阶段复杂多变的网络。在对当前国内外威胁态势评估技术进行分析和研究的基础上,本文针对基于多源日志的网络威胁态势评估关键技术进行了研究,主要工作叙述如下:(1)针对多源日志安全事件提取中属性之间关联性弱、安全事件聚合率低的问题,提出了一种Str-FSFDP(基于流数据的快速查找)密度峰值聚类基于改进UHAD(无监督式异构恶意检测)框架的多源日志安全事件提取方法。使对日志的分析精细到关于日志属性类型的关联,使其充分利用多源日志的异构性。同时提出了基于微簇理论时间阈值的UHAD框架,此框架解决了在日志聚合过程中聚合次数过于频繁打乱动态数据的变化规律或聚合次数较少使得聚合密度过大从而安全事件模糊等问题。该框架将Str-FSFDP聚类算法融入在内,保证了同一安全事件的高关联性和日志聚合的精确度,减少了基于多源日志分析过程中针对安全事件的误报率和漏报率。(2)针对攻击图趋于静态化、攻击场景固定化的问题,提出了一种基于人类学活动理论(ATM)的矛盾化攻击图动态评估模型。用活动理论的三角模型来分析攻击者行为的内部矛盾,并量化为攻击图中的矛盾矢量,用其计算出在各个攻击图节点上攻击者的“亏损/增益”值。为了考虑到攻击者存在的预算限制,使其使用遗传算法算得的最大概率路径更加精准。本文将攻击者预算的无偏差量改进最小二乘的方法构造了约束条件下目标函数(攻击者亏损/增益)的拟合曲线,更好的拟合了遗传算法中的目标函数,生成适应度函数。根据适应度函数,算得最优种群即最大概率路径,攻击者的最大概率路径随着不同证据到来发生动态演变,从而实现攻击图的动态演变,得到更加精确的、动态变化的威胁态势评估结果。(3)针对传统网络威胁态势评估中威胁要素采集不全面、分析基于单源化的问题,完成了一种基于多源日志的网络威胁态势评估原型系统,将多源日志分析技术融合进攻击图评估技术中,对主机和其所存在的网络环境进行全方位的威胁态势评估。该原型系统通过主机画像模块即多源日志安全事件提取所得的证据动态地改变了网络轮廓图像模块即活动理论攻击图中攻击者“亏损/增益”值。通过线上和线下系统相结合的方式动态地评估攻击者的最大概率意图和最大概率攻击路径,从而摆脱了传统网络威胁态势系统中的静态性,动态的检测系统中的威胁态势。