[[156536]]

1 引言

隨著計(jì)算機(jī)和通信技術(shù)的迅速發(fā)展， 計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用越來越廣泛， 其規(guī)模越來越龐大， 多層面的網(wǎng)絡(luò)安全威脅和安全風(fēng)險(xiǎn)也在不斷增加， 網(wǎng)絡(luò)病毒、 Dos/DDos攻擊等構(gòu)成的威脅和損失越來越大， 網(wǎng)絡(luò)攻擊行為向著分布化、 規(guī)?；?、 復(fù)雜化等趨勢發(fā)展， 僅僅依靠防火墻、 入侵檢測、 防病毒、 訪問控制等單一的網(wǎng)絡(luò)安全防護(hù)技術(shù)， 已不能滿足網(wǎng)絡(luò)安全的需求， 迫切需要新的技術(shù)， 及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常事件， 實(shí)時(shí)掌握網(wǎng)絡(luò)安全狀況， 將之前很多時(shí)候亡羊補(bǔ)牢的事中、 事后處理，轉(zhuǎn)向事前自動(dòng)評估預(yù)測， 降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)， 提高網(wǎng)絡(luò)安全防護(hù)能力。

網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)能夠綜合各方面的安全因素， 從整體上動(dòng)態(tài)反映網(wǎng)絡(luò)安全狀況， 并對網(wǎng)絡(luò)安全的發(fā)展趨勢進(jìn)行預(yù)測和預(yù)警。 大數(shù)據(jù)技術(shù)特有的海量存儲、 并行計(jì)算、 高效查詢等特點(diǎn)， 為大規(guī)模網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)的突破創(chuàng)造了機(jī)遇， 借助大數(shù)據(jù)分析， 對成千上萬的網(wǎng)絡(luò)日志等信息進(jìn)行自動(dòng)分析處理與深度挖掘， 對網(wǎng)絡(luò)的安全狀態(tài)進(jìn)行分析評價(jià)， 感知網(wǎng)絡(luò)中的異常事件與整體安全態(tài)勢。

2 網(wǎng)絡(luò)安全態(tài)勢相關(guān)概念

2.1 網(wǎng)絡(luò)態(tài)勢感知

態(tài)勢感知（Situation Awareness， SA） 的概念是1988年Endsley提出的， 態(tài)勢感知是在一定時(shí)間和空間內(nèi)對環(huán)境因素的獲取， 理解和對未來短期的預(yù)測。 整個(gè)態(tài)勢感知過程可由圖1所示的三級模型直觀地表示出來。

所謂網(wǎng)絡(luò)態(tài)勢是指由各種網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、 網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個(gè)網(wǎng)絡(luò)當(dāng)前狀態(tài)和變化趨勢。

網(wǎng)絡(luò)態(tài)勢感知（Cyberspace Situation Awareness，CSA） 是1999年Tim Bass首次提出的， 網(wǎng)絡(luò)態(tài)勢感知是在大規(guī)模網(wǎng)絡(luò)環(huán)境中， 對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全要素進(jìn)行獲取、 理解、 顯示以及預(yù)測最近的發(fā)展趨勢。

態(tài)勢是一種狀態(tài)、 一種趨勢， 是整體和全局的概念， 任何單一的情況或狀態(tài)都不能稱之為態(tài)勢。 因此對態(tài)勢的理解特別強(qiáng)調(diào)環(huán)境性、 動(dòng)態(tài)性和整體性， 環(huán)境性是指態(tài)勢感知的應(yīng)用環(huán)境是在一個(gè)較大的范圍內(nèi)具有一定規(guī)模的網(wǎng)絡(luò)； 動(dòng)態(tài)性是態(tài)勢隨時(shí)間不斷變化， 態(tài)勢信息不僅包括過去和當(dāng)前的狀態(tài)， 還要對未來的趨勢做出預(yù)測； 整體性是態(tài)勢各實(shí)體間相互關(guān)系的體現(xiàn)，某些網(wǎng)絡(luò)實(shí)體狀態(tài)發(fā)生變化， 會影響到其他網(wǎng)絡(luò)實(shí)體的狀態(tài)， 進(jìn)而影響整個(gè)網(wǎng)絡(luò)的態(tài)勢。

2.2 網(wǎng)絡(luò)安全態(tài)勢感知

網(wǎng)絡(luò)安全態(tài)勢感知就是利用數(shù)據(jù)融合、 數(shù)據(jù)挖掘、智能分析和可視化等技術(shù)， 直觀顯示網(wǎng)絡(luò)環(huán)境的實(shí)時(shí)安全狀況， 為網(wǎng)絡(luò)安全提供保障。 借助網(wǎng)絡(luò)安全態(tài)勢感知， 網(wǎng)絡(luò)監(jiān)管人員可以及時(shí)了解網(wǎng)絡(luò)的狀態(tài)、 受攻擊情況、 攻擊來源以及哪些服務(wù)易受到攻擊等情況， 對發(fā)起攻擊的網(wǎng)絡(luò)采取措施； 網(wǎng)絡(luò)用戶可以清楚地掌握所在網(wǎng)絡(luò)的安全狀態(tài)和趨勢， 做好相應(yīng)的防范準(zhǔn)備， 避免和減少網(wǎng)絡(luò)中病毒和惡意攻擊帶來的損失； 應(yīng)急響應(yīng)組織也可以從網(wǎng) 絡(luò)安全態(tài)勢中了解所服務(wù)網(wǎng) 絡(luò)的安全狀況和發(fā)展趨勢， 為 制定有預(yù)見性的應(yīng)急預(yù)案提供基礎(chǔ)。

3 網(wǎng)絡(luò)安全態(tài)勢感知相關(guān)技術(shù)

對于大規(guī)模網(wǎng)絡(luò)而言， 一方面網(wǎng)絡(luò)節(jié)點(diǎn)眾多、 分支復(fù)雜、 數(shù)據(jù)流量大， 存在多種異構(gòu)網(wǎng)絡(luò)環(huán)境和應(yīng)用平臺； 另一方面網(wǎng)絡(luò)攻擊技術(shù)和手段呈平臺化、 集成化和自 動(dòng)化的發(fā)展趨勢， 網(wǎng)絡(luò)攻擊具有更強(qiáng)的隱蔽性和更長的潛伏時(shí)間， 網(wǎng)絡(luò)威脅不斷增多且造成的損失不斷增大。 為了實(shí)時(shí)、 準(zhǔn)確地顯示整個(gè)網(wǎng)絡(luò)安全態(tài)勢狀況， 檢測出潛在、 惡意的攻擊行為， 網(wǎng)絡(luò)安全態(tài)勢感知要在對網(wǎng)絡(luò)資源進(jìn)行要素采集的基礎(chǔ)上， 通過數(shù)據(jù)預(yù)處理、 網(wǎng)絡(luò)安全態(tài)勢特征提取、 態(tài)勢評估、 態(tài)勢預(yù)測和態(tài)勢展示等過程來完成， 這其中涉及許多相關(guān)的技術(shù)問題， 主要包括數(shù)據(jù)融合技術(shù)、 數(shù)據(jù)挖掘技術(shù)、 特征提取技術(shù)、 態(tài)勢預(yù)測技術(shù)和可視化技術(shù)等。

3.1 數(shù)據(jù)融合技術(shù)

由于網(wǎng)絡(luò)空間態(tài)勢感知的數(shù)據(jù)來自眾多的網(wǎng)絡(luò)設(shè)備， 其數(shù)據(jù)格式、 數(shù)據(jù)內(nèi)容、 數(shù)據(jù)質(zhì)量千差萬別， 存儲形式各異， 表達(dá)的語義也不盡相同。 如果能夠?qū)⑦@些使用不同途徑、 來源于不同網(wǎng)絡(luò)位置、 具有不同格式的數(shù)據(jù)進(jìn)行預(yù)處理， 并在此基礎(chǔ)上進(jìn)行歸一化融合操作，就可以為網(wǎng)絡(luò)安全態(tài)勢感知提供更為全面、 精準(zhǔn)的數(shù)據(jù)源， 從而得到更為準(zhǔn)確的網(wǎng)絡(luò)態(tài)勢。 數(shù)據(jù)融合技術(shù)是一個(gè)多級、 多層面的數(shù)據(jù)處理過程， 主要完成對來自網(wǎng)絡(luò)中具有相似或不同特征模式的多源信息進(jìn)行互補(bǔ)集成， 完成對數(shù)據(jù)的自動(dòng)監(jiān)測、 關(guān)聯(lián)、 相關(guān)、 估計(jì)及組合等處理， 從而得到更為準(zhǔn)確、 可靠的結(jié)論。 數(shù)據(jù)融合按信息抽象程度可分為從低到高的三個(gè)層次： 數(shù)據(jù)級融合、 特征級融合和決策級融合， 其中特征級融合和決策級融合在態(tài)勢感知中具有較為廣泛的應(yīng)用。

3.2 數(shù)據(jù)挖掘技術(shù)

網(wǎng)絡(luò)安全態(tài)勢感知將采集的大量網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)經(jīng)過數(shù)據(jù)融合處理后， 轉(zhuǎn)化為格式統(tǒng)一的數(shù)據(jù)單元。這些數(shù)據(jù)單元數(shù)量龐大， 攜帶的信息眾多， 有用信息與無用信息魚龍混雜， 難以辨識。 要掌握相對準(zhǔn)確、 實(shí)時(shí)的網(wǎng)絡(luò)安全態(tài)勢， 必須剔除干擾信息。 數(shù)據(jù)挖掘就是指從大量的數(shù)據(jù)中挖掘出有用的信息， 即從大量的、 不完全的、 有噪聲的、 模糊的、 隨機(jī)的實(shí)際應(yīng)用數(shù)據(jù)中發(fā)現(xiàn)隱含的、 規(guī)律的、 事先未知的， 但又有潛在用處的并且最終可理解的信息和知識的非平凡過程（ NontrivialProcess） [1 ]。 數(shù)據(jù)挖掘可分為描述性挖掘和預(yù)測性挖掘， 描述性挖掘用于刻畫數(shù)據(jù)庫中數(shù)據(jù)的一般特性； 預(yù)測性挖掘在當(dāng)前數(shù)據(jù)上進(jìn)行推斷， 并加以預(yù)測。 數(shù)據(jù)挖掘方法主要有： 關(guān)聯(lián)分析法、 序列模式分析法、 分類分析法和聚類分析法。 關(guān)聯(lián)分析法用于挖掘數(shù)據(jù)之間的聯(lián)系； 序列模式分析法側(cè)重于分析數(shù)據(jù)間的因果關(guān)系；分類分析法通過對預(yù)先定義好的類建立分析模型， 對數(shù)據(jù)進(jìn)行分類， 常用的模型有決策樹模型、 貝葉斯分類模型、 神經(jīng)網(wǎng)絡(luò)模型等； 聚類分析不依賴預(yù)先定義好的類， 它的劃分是未知的， 常用的方法有模糊聚類法、 動(dòng)態(tài)聚類法、 基于密度的方法等。

3.3 特征提取技術(shù)

網(wǎng)絡(luò)安全態(tài)勢特征提取技術(shù)是通過一系列數(shù)學(xué)方法處理， 將大規(guī)模網(wǎng)絡(luò)安全信息歸并融合成一組或者幾組在一定值域范圍內(nèi)的數(shù)值， 這些數(shù)值具有表現(xiàn)網(wǎng)絡(luò)實(shí)時(shí)運(yùn)行狀況的一系列特征， 用以反映網(wǎng)絡(luò)安全狀況和受威脅程度等情況。 網(wǎng)絡(luò)安全態(tài)勢特征提取是網(wǎng)絡(luò)安全態(tài)勢評估和預(yù)測的基礎(chǔ)， 對整個(gè)態(tài)勢評估和預(yù)測有著重要的影響， 網(wǎng)絡(luò)安全態(tài)勢特征提取方法主要有層次分析法、 模糊層次分析法、 德爾菲法和綜合分析法。

3.4 態(tài)勢預(yù)測技術(shù)

網(wǎng)絡(luò)安全態(tài)勢預(yù)測就是根據(jù)網(wǎng)絡(luò)運(yùn)行狀況發(fā)展變化的實(shí)際數(shù)據(jù)和歷史資料， 運(yùn)用科學(xué)的理論、 方法和各種經(jīng)驗(yàn)、 判斷、 知識去推測、 估計(jì)、 分析其在未來一定時(shí)期內(nèi)可能的變化情況， 是網(wǎng)絡(luò)安全態(tài)勢感知的一個(gè)重要組成部分。 網(wǎng)絡(luò)在不同時(shí)刻的安全態(tài)勢彼此相關(guān)， 安全態(tài)勢的變化有一定的內(nèi)部規(guī)律， 這種規(guī)律可以預(yù)測網(wǎng)絡(luò)在將來時(shí)刻的安全態(tài)勢， 從而可以有預(yù)見性地進(jìn)行安全策略的配置， 實(shí)現(xiàn)動(dòng)態(tài)的網(wǎng)絡(luò)安全管理， 預(yù)防大規(guī)模網(wǎng)絡(luò)安全事件的發(fā)生。 網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法主要有神經(jīng)網(wǎng)絡(luò)預(yù)測法、 時(shí)間序列預(yù)測法、 基于灰色理論預(yù)測法。

3.5 可視化技術(shù)

網(wǎng)絡(luò)安全態(tài)勢生成是依據(jù)大量數(shù)據(jù)的分析結(jié)果來顯示當(dāng)前狀態(tài)和未來趨勢， 而通過傳統(tǒng)的文本或簡單圖形表示， 使得尋找有用、 關(guān)鍵的信息非常困難。 可視化技術(shù)是利用計(jì)算機(jī)圖形學(xué)和圖像處理技術(shù)， 將數(shù)據(jù)轉(zhuǎn)換成圖形或圖像在屏幕上顯示出來， 并進(jìn)行交互處理的理論、 方法和技術(shù)。 它涉及計(jì)算機(jī)圖形學(xué)、 圖像處理、 計(jì)算機(jī)視覺、 計(jì)算機(jī)輔助設(shè)計(jì)等多個(gè)領(lǐng)域。 目前已有很多研究將可視化技術(shù)和可視化工具應(yīng)用于態(tài)勢感知領(lǐng)域， 在網(wǎng)絡(luò)安全態(tài)勢感知的每一個(gè)階段都充分利用可視化方法， 將網(wǎng)絡(luò)安全態(tài)勢合并為連貫的網(wǎng)絡(luò)安全態(tài)勢圖， 快速發(fā)現(xiàn)網(wǎng)絡(luò)安全威脅， 直觀把握網(wǎng)絡(luò)安全狀況。

4 基于多源日志的網(wǎng)絡(luò)安全態(tài)勢感知

隨著網(wǎng) 絡(luò)規(guī)模的 擴(kuò)大以及網(wǎng) 絡(luò)攻擊復(fù)雜度的增加， 入侵檢測、 防火墻、 防病毒、 安全審計(jì)等眾多的安全設(shè)備在網(wǎng)絡(luò)中得到廣泛的應(yīng)用， 雖然這些安全設(shè)備對網(wǎng)絡(luò)安全發(fā)揮了一定的作用， 但存在著很大的局限，主要表現(xiàn)在： 一是各安全設(shè)備的海量報(bào)警和日志， 語義級別低， 冗余度高， 占用存儲空間大， 且存在大量的誤報(bào)， 導(dǎo)致真實(shí)報(bào)警信息被淹沒。 二是各安全設(shè)備大多功能單一， 產(chǎn)生的報(bào)警信息格式各不相同， 難以進(jìn)行綜合分析整理， 無法實(shí)現(xiàn)信息共享和數(shù)據(jù)交互， 致使各安全設(shè)備的總體防護(hù)效能無法得以充分的發(fā)揮。 三是各安全設(shè)備的處理結(jié)果僅能單一體現(xiàn)網(wǎng)絡(luò)某方面的運(yùn)行狀況， 難以提供全面直觀的網(wǎng)絡(luò)整體安全狀況和趨勢信息。 為了有效克服這些網(wǎng)絡(luò)安全管理的局限， 我們提出了基于多源日志的網(wǎng)絡(luò)安全態(tài)勢感知。

4.1 基于多源日志的網(wǎng)絡(luò)安全態(tài)勢感知要素獲取

基于多源日志的網(wǎng)絡(luò)安全態(tài)勢感知是對部署在網(wǎng)絡(luò)中的多種安全設(shè)備提供的日志信息進(jìn)行提取、 分析和處理， 實(shí)現(xiàn)對網(wǎng)絡(luò)態(tài)勢狀況進(jìn)行實(shí)時(shí)監(jiān)控， 對潛在的、惡意的網(wǎng)絡(luò)攻擊行為進(jìn)行識別和預(yù)警， 充分發(fā)揮各安全設(shè)備的整體效能， 提高網(wǎng)絡(luò)安全管理能力。

基于多源日志的網(wǎng)絡(luò)安全態(tài)勢感知主要采集網(wǎng)絡(luò)入口處防火墻日志、 入侵檢測日志， 網(wǎng)絡(luò)中關(guān)鍵主機(jī)日志以及主機(jī)漏洞信息， 通過融合分析這些來自不同設(shè)備的日志信息， 全面深刻地挖掘出真實(shí)有效的網(wǎng)絡(luò)安全態(tài)勢相關(guān)信息， 與僅基于單一日志源分析網(wǎng)絡(luò)的安全態(tài)
勢相比， 可以提高網(wǎng)絡(luò)安全態(tài)勢的全面性和準(zhǔn)確性。

4.2 利用大數(shù)據(jù)進(jìn)行多源日志分析處理

基于多源日志的網(wǎng)絡(luò)安全態(tài)勢感知采集了多種安全設(shè)備上以多樣的檢測方式和事件報(bào)告機(jī)制生成的海量數(shù)據(jù)， 而這些原始的日 志信息存在海量、 冗余和錯(cuò)誤等缺陷， 不能作為態(tài)勢感知的直接信息來源， 必須進(jìn)行關(guān)聯(lián)分析和數(shù)據(jù)融合等處理。 采用什么樣的技術(shù)才能快速分析處理這些海量且格式多樣的數(shù)據(jù)？

大數(shù)據(jù)的出現(xiàn)， 擴(kuò)展了計(jì)算和存儲資源， 大數(shù)據(jù)自身擁有的Variety支持多類型數(shù)據(jù)格式、 Volume大數(shù)據(jù)量存儲、Velocity快速處理三大特征， 恰巧是基于多源日志的網(wǎng)絡(luò)安全態(tài)勢感知分析處理所需要的。 大數(shù)據(jù)的多類型數(shù)據(jù)格式， 可以使網(wǎng)絡(luò)安全態(tài)勢感知獲取更多類型的日志數(shù)據(jù)， 包括網(wǎng)絡(luò)與安全設(shè)備的日志、 網(wǎng)絡(luò)運(yùn)行情況信息、 業(yè)務(wù)與應(yīng)用的日志記錄等； 大數(shù)據(jù)的大數(shù)據(jù)量存儲正是海量日志存儲與處理所需要的； 大數(shù)據(jù)的快速處理為高速網(wǎng)絡(luò)流量的深度安全分析提供了技術(shù)支持， 為高智能模型算法提供計(jì)算資源。 因此， 我們利用大數(shù)據(jù)所提供的基礎(chǔ)平臺和大數(shù)據(jù)量處理的技術(shù)支撐， 進(jìn)行網(wǎng)絡(luò)安全態(tài)勢的分析處理。

關(guān)聯(lián)分析。 網(wǎng)絡(luò)中的防火墻日志和入侵檢測日志都是對進(jìn)入網(wǎng)絡(luò)的安全事件的流量的刻畫， 針對某一個(gè)可能的攻擊事件， 會產(chǎn)生大量的日志和相關(guān)報(bào)警記錄，這些記錄存在著很多的冗余和關(guān)聯(lián)， 因此首先要對得到的原始日志進(jìn)行單源上的關(guān)聯(lián)分析， 把海量的原始日志轉(zhuǎn)換為直觀的、 能夠?yàn)槿怂斫獾摹?可能對網(wǎng)絡(luò)造成危害的安全事件。 基于多源日志的網(wǎng)絡(luò)安全態(tài)勢感知采用基于相似度的報(bào)警關(guān)聯(lián)， 可以較好地控制關(guān)聯(lián)后的報(bào)警數(shù)量， 有利于減少復(fù)雜度。 其處理過程是： 首先提取報(bào)警日志中的主要屬性， 形成原始報(bào)警； 再通過重復(fù)報(bào)警聚合， 生成聚合報(bào)警； 對聚合報(bào)警的各個(gè)屬性定義相似度的計(jì)算方法， 并分配權(quán)重； 計(jì)算兩個(gè)聚合報(bào)警的相似度， 通過與相似度閥值的比較， 來決定是否對聚合報(bào)警進(jìn)行超報(bào)警； 最終輸出屬于同一類報(bào)警的地址范圍和報(bào)警信息， 生成安全事件。

融合分析。 多源日志存在冗余性、 互補(bǔ)性等特點(diǎn)，態(tài)勢感知借助數(shù)據(jù)融合技術(shù)， 能夠使得多個(gè)數(shù)據(jù)源之間取長補(bǔ)短， 從而為感知過程提供保障， 以便更準(zhǔn)確地生成安全態(tài)勢。 經(jīng)過單源日志報(bào)警關(guān)聯(lián)過程， 分別得到各自的安全事件。 而對于來自防火墻和入侵檢測日志的的多源安全事件， 采用D-S證據(jù)理論（由Dempster于1967年提出， 后由Shafer于1976年加以推廣和發(fā)展而得名） 方法進(jìn)行融合判別， 對安全事件的可信度進(jìn)行評估， 進(jìn)一步提高準(zhǔn)確率， 減少誤報(bào)。 D-S證據(jù)理論應(yīng)用到安全事件融合的基本思路： 首先研究一種切實(shí)可行的初始信任分配方法， 對防火墻和入侵檢測分配信息度函數(shù)； 然后通過D-S的合成規(guī)則， 得到融合之后的安全事件的可信度。

態(tài)勢要素分析。 通過對網(wǎng)絡(luò)入口處安全設(shè)備日 志的安全分析， 得到的只是進(jìn)入目 標(biāo)網(wǎng)絡(luò)的可能的攻擊信息， 而真正對網(wǎng)絡(luò)安全狀況產(chǎn)生決定性影響的安全事件， 則需要通過綜合分析攻擊知識庫和具體的網(wǎng)絡(luò)環(huán)境進(jìn)行最終確認(rèn)。 主要分為三個(gè)步驟： 一是通過對大量網(wǎng)絡(luò)攻擊實(shí)例的研究， 得到可用的攻擊知識庫， 主要包括各種網(wǎng)絡(luò)攻擊的原理、 特點(diǎn)， 以及它們的作用環(huán)境等； 二是分析關(guān)鍵主機(jī)上存在的系統(tǒng)漏洞和承載的服務(wù)的可能漏洞， 建立當(dāng)前網(wǎng)絡(luò)環(huán)境的漏洞知識庫， 分析當(dāng)前網(wǎng)絡(luò)環(huán)境的拓?fù)浣Y(jié)構(gòu)、 性能指標(biāo)等， 得到網(wǎng)絡(luò)環(huán)境知識庫； 三是通過漏洞知識庫來確認(rèn)安全事件的有效性， 也即對當(dāng)前網(wǎng)絡(luò)產(chǎn)生影響的網(wǎng)絡(luò)攻擊事件。 在網(wǎng)絡(luò)安全事件生成和攻擊事件確認(rèn)的過程中， 提取出用于對整個(gè)網(wǎng)絡(luò)安全態(tài)勢進(jìn)行評估的態(tài)勢要素， 主要包括整個(gè)網(wǎng)絡(luò)面臨的安全威脅、 分支網(wǎng)絡(luò)面臨的安全威脅、 主機(jī)受到的安全威脅以及這些威脅的程度等。

5 結(jié)語

為了解決日益嚴(yán)重的網(wǎng)絡(luò)安全威脅和挑戰(zhàn)， 將態(tài)勢感知技術(shù)應(yīng)用于網(wǎng)絡(luò)安全中， 不僅能夠全面掌握當(dāng)前網(wǎng)絡(luò)安全狀態(tài)， 還可以預(yù)測未來網(wǎng)絡(luò)安全趨勢。 本文在介紹網(wǎng)絡(luò)安全態(tài)勢相關(guān)概念和技術(shù)的基礎(chǔ)上， 對基于多源日志的網(wǎng)絡(luò)安全態(tài)勢感知進(jìn)行了探討， 著重對基于多源日志的網(wǎng)絡(luò)安全態(tài)勢感知要素獲取， 以及利用大數(shù)據(jù)進(jìn)行多源日志的關(guān)聯(lián)分析、 融合分析和態(tài)勢要素分析等內(nèi)容進(jìn)行了研究， 對于態(tài)勢評估、 態(tài)勢預(yù)測和態(tài)勢展示等相關(guān)內(nèi)容， 還有待于進(jìn)一步探討和研究。