本书首先介绍网络安全态势感知的基础知识以及网络安全态势感知的主要技术，其次针对网络安全态势感知的过程进行详细的数据分析及模拟，主要包括网络安全态势感知的框架及数据融合、网络安全态势感知的识别、网络安全态势感知的评估建模、网络安全态势感知的态势预测。
本书适合作为高等院校网络安全相关专业的教材，也可供网络安全工程师及研究人员阅读。

近年来，随着互联网在全球的迅速发展和各种互联网应用的快速普及，网络已成为人们日常工作生活中不可或缺的信息承载工具，网络改变了人们的生活、工作方式，使信息的获取、传递、处理和利用更加高效、迅捷，这不仅促进了社会生产，也丰富了人们的生活。与此同时计算机网络也成为一个国家最为关键的政治、经济和军事资源，成为国家实力的象征。然而，随着网络规模的不断壮大，网络结构的日益复杂，网络病毒、DDoS攻击等构成的威胁和损失越来越大，传统的网络安全管理模式仅仅依靠防火墙、防病毒、IDS等单一的网络安全防护技术来实现被动的网络安全管理，已满足不了目前网络安全的要求，因此迫切需要新的技术来对网络安全状况进行实时监控和预警。安全态势感知技术就是对当前和未来一段时间内的网络安全状态进行定量和定性的评价，实时监测和预警的一种新的安全技术。
网络安全态势感知可看成自然空间战场态势感知在虚拟环境中的一次延伸。开展这项研究旨在建立网络安全态势感知系统，为网络安全管理员了解网络安全态势，迅速做出反应提供决策支持和指挥控制。目前网络正朝着大规模、高度分布式的方向发展，同时入侵攻击行为也正朝规模化、分布化、复杂化等方向发展和演化。网络威胁态势感知可对获取到的大量多源异构威胁信息进行融合处理，将融合结果进行图形化展示，为管理员应对网络威胁提供决策参考。由于网络威胁态势感知技术的数据源覆盖了各类网络安全设备，感知结果比较客观、准确，同时具有较好的实时性，使得网络管理员能够迅速判断当前网络威胁态势，及时制定应对措施，减小和预防网络威胁带来的破坏。因此，开展网络威胁态势感知研究具有重要意义和实用价值。
本书主要内容包括网络安全态势的基础知识、网络安全态势感知中的关键技术、基于Agent理论的网络安全态势感知框架构建、基于径向基神经网络的多源数据融合、网络安全态势的识别研究、网络安全态势评估及其建模、网络安全态势的预测研究。
限于作者水平有限，书中不当甚至疏漏之处在所难免，诚恳期待有关专家批评指正。

编 者
2018年12月

第1章 网络安全态势的基础知识 1
1.1 态势感知的概念 2
1.2 网络安全态势感知 3
1.2.1 国内外研究现状 5
1.2.2 网络安全的主要威胁及态势分析 7
1.2.3 网络安全态势感知的流程 10
1.2.4 网络安全态势的识别 11
1.2.5 网络安全态势的理解 13
1.2.6 网络安全态势的预测 14
1.3 网络安全态势感知系统与IDS 15
1.3.1 网络安全态势感知可视化系统 15
1.3.2 安全体系结构中IDS的层次 18
1.3.3 网络安全态势感知框架中IDS的定位 19
1.4 网络安全态势感知的评价指标体系 19
1.4.1 安全态势的定量评价指标体系 19
1.4.2 安全态势的定性评价指标体系 20
1.5 网络安全态势感知的应用 20
1.6 态势感知数据源 22
1.6.1 Netflow流量数据 22
1.6.2 信息熵 22
1.7 网络安全事件关联分析 23
第2章 网络安全态势感知中的关键技术 26
2.1 数据挖掘技术 27
2.2 数据融合技术 29
2.3 事态可视化技术 32
2.4 网络安全态势评估技术 35
2.5 网络安全态势预测技术 37
2.6 数据约简技术 39
第3章 基于Agent理论的网络安全态势感知框架构建 41
3.1 网络安全态势感知建模 41
3.1.1 Endsley模型的基本概念 41
3.1.2 层次化的感知模型 42
3.2 基于Agent理论的网络安全态势感知建模 43
3.2.1 Agent理论的基本概念 43
3.2.2 基于Multi-Agent理论的网络安全态势感知模型 46
3.2.3 层次化网络感知的数学模型 50
3.3 网络安全态势感知的评价指标体系 51
3.3.1 安全态势的定性评价指标体系 51
3.3.2 安全态势的定量评价指标体系 51
3.3.3 网络安全态势感知指标体系的建立 52
第4章 基于径向基神经网络的多源数据融合 54
4.1 网络安全态势感知中的多源数据融合 54
4.2 径向基神经网络简介 55
4.2.1 人工神经网络理论简介 55
4.2.2 径向基函数神经元模型 56
4.2.3 径向基函数网络的结构 57
4.2.4 径向基函数网络的学习过程 58
4.3 改进的RBF神经网络模型 61
4.3.1 核模糊C-均值聚类 62
4.3.2 递阶遗传算法 66
4.3.3 两阶段学习流程 66
4.4 基于径向基神经网络的网络安全态势感知评估方法 67
4.5 实验与仿真 68
4.5.1 多源数据的选取 69
4.5.2 RBF神经网络模型构建 69
4.5.3 RBF神经网络的学习 70
4.5.4 基于RBF神经网络的网络安全态势感知评估 71
第5章 网络安全态势的识别研究 73
5.1 入侵检测建模中的特征选择 73
5.2 改进入侵检测准确度的设计 78
5.2.1 D-S证据理论基本概念 78
5.2.2 基于D-S证据理论的入侵检测方案 80
5.2.3 基本概率分配和证据合并 81
5.2.4 仿真环境和数据采集 83
第6章 网络安全态势评估及其建模 86
6.1 现有网络安全态势理解方案 86
6.2 层次化定量评价体系和存在的不足 87
6.3 AHP的基本概念和建模步骤 88
6.3.1 AHP的基本概念 88
6.3.2 基于AHP定量态势评价方案 90
6.3.3 方案评价 92
6.4 网络安全态势建模 97
6.4.1 网络安全态势建模研究方法 97
6.4.2 Endsley模型 98
6.4.3 网络安全态势理解的建模方案 100
6.5 HoneyNet数据的模型评测 104
6.5.1 HoneyNet数据分析和预处理 104
6.5.2 HoneyNet数据态势提取 105
6.5.3 HoneyNet数据仿真结果 107
6.6 校园网数据的模型评测 110
6.6.1 校园网数据分析和预处理 110
6.6.2 安全域划分和空间参数分配方案 112
6.6.3 校园网数据仿真结果 112
第7章 网络安全态势的预测研究 118
7.1 现有网络安全态势预测方案和存在问题 118
7.2 灰色理论基本概念 119
7.2.1 GM（1,1）参数求解 120
7.2.2 灰色Verhulst模型 121
7.2.3 灰色Verhulst模型参数求解 122
7.3 网络安全态势预测方案研究 122
7.3.1 当前和历史安全态势风险值获取算法 123
7.3.2 未来网络安全态势预测方案 123
7.3.3 自适应灰色参数算法 125
7.3.4 等维灰数递补（EDGF）算法实现 126
7.3.5 模型残差修正 127
7.4 态势预测方案评测和分析 128
7.4.1 数据分析和预处理 128
7.4.2 Verhulst模型的拟合 128
7.4.3 仿真结果和讨论 129
参考文献 133

陆军（1982-）副教授 ，工学硕士，甘肃政法学院信息工程学院，2008年9月起至今主要担任c语言程序设计、c程序设计教学、数据结构的课程的教学工作，具有丰富的计算机相关教学经验，广受学生好评。主编《计算机网络安全与技术》一部。