随着网络规模的不断壮大,网络结构的日益复杂,网络病毒、分布式拒绝服务攻击(Dos/DDos)等构成的威胁和损失越来越大,传统的网络安全管理模式仅仅依靠防火墙、防病毒、网络入侵检测(IDS)等单一的网络安全防护技术来实现被动的网络安全管理,已满足不了目前网络安全的要求,因此迫切需要新的技术来对网络安全状况进行实时监控和预警。网络安全态势感知技术就是对当前和未来一段时间内的网络安全状态实时监测和预警的一种新的安全技术。本文用于态势感知的数据来自netflow的流量信息,采集了包括源/目的IP、源/目的端口、数据包数量等的信息,基于netflow流量信息来进行网络安全态势感知。本文的工作主要包括以下几点:第一,由于每个netflow数据包中含有几万行甚至几十万行的流量信息,直接对这种流量信息进行处理很困难。把netflow数据中的各个地址看作是一组随机事件,就可以对它的信息熵进行分析,信息熵能够更有效地表现出各个地址对应数据的集中和分散情况。第二,针对未来网络安全态势的模糊性、随机性、不确定性等特点,提出采用灰色模型建立未来态势感知模型。利用灰模型需要样本少,计算简单的优势,对信息熵序列进行中短期预测。该方法通过GM(1,1)灰色模型得到信息熵的预测值序列,并算出网络风险指数,利用本文提出的风险指数计算达到网络安全态势感知的目的。通过仿真证明这种方法能感知未来的网络安全态势,对未来一段时间内的网络安全态势实时预警。第三,对于现在的大规模网络,利用数据挖掘Apriori算法从多个信息熵序列中发现潜在的关联规则,并通过已知的网络攻击对熵值序列的影响。把产生的关联规则分成异常空间和正常空间,并可以对网络安全态势划分安全、中等、危险等级。第四,由于Apriori算法需要多次扫描时间序列数据库,使得算法在实际应用中效率不高,很难满足网络安全态势感知的实时性要求,所以提出基于矩阵的快速挖掘算法,并且通过排序矩阵和树来减少候选集,提高了多时间序列数据挖掘的时间上的效率,在大型网络和海量数据的情况下仍然能达到安全态势感知的目的。