随着网络入侵行为的种类越来越多,投入用来维护网络安全的设备也越来越多,面对众多复杂的安全信息,安全管理人员的理解能力有限,无法在短时间内了解网络总体的安全状态。为了帮助安全管理人员在短时间内快速地掌握网络总体的安全态势信息,网络安全态势感知技术被用来提炼、融合网络中各种安全设备的安全信息,最终得出关于网络安全态势的一个态势值。传统的安全态势感知技术主要通过直接融合IDS报警信息和各种安全日志生成态势信息,但随着网络规模的扩大,数据融合所需要的关联分析复杂度加大,会降低态势信息生成的速度。而基于网络流量进行安全态势分析具有可保证安全信息的完整性,减少中间处理环节,部署流量旁路采集器灵活的优点。因此本文选择基于网络流量来进行安全态势分析。本文主要工作包括以下三个方面:(1)本文建立一个通用的异常检测模型并对该模型进行了三方面的优化,使模型在罕见攻击类型r2l和u2r的召回率上分别达到了45.0%和14.0%,在同类文献中处于较高水平。该异常检测模型建立在基于支持向量机和KDD CUP99数据集训练的五个分类器之上。本文对该异常检测模型进行的三方面优化为:一是提出了基于异常比例分析的特征提取方法为五个分类器提取了有效的特征组合;二是使用采样技术对每个分类器训练集的样本分布进行了优化;三是基于模拟退火算法对每个分类器的参数进行了优化。(2)本文提出了一种对于安全态势理解过程的计算方法并对所用到的层次分析法进行了两方面的优化。对层次分析法进行的两方面优化为:一是使用模糊相对比较矩阵计算权重进一步降低给出相对权重过程中人的主观性;二是基于诱导矩阵对相对比较矩阵进行了一致性的自动修正,使系统更加自动化。对于安全态势的预测,本文通过基于历史态势值训练的一个BP神经网络实现。(3)本文设计并实现了一个基于网络流量的安全态势分析系统。在对安全态势分析系统进行需求分析和系统设计的基础上提出了本文实现各个功能模块的具体方法,并通过功能性测试和非功能性测试验证了系统的实用性。测试结果表明系统管理员通过该系统可以在第一时间了解到当前各级的态势值和网络中的攻击行为。