网络安全风险评估是网络安全管理的前提和基础。风险评估方法的合理性、准确性直接影响着需求分析结果和安全策略的准确性。现代网络具有极强的时效性和不断增强的互动性,快速及时地全面监控网络安全风险状况显得尤其重要。这也是信息安全领域研究的热点。基于告警关联的网络安全风险评估方法克服了风险评估结果不能动态跟进环境变化的局限性,实时地量化网络系统安全风险态势的评估指标。其主要思想是:其一,以安全告警作为风险评估的信息源;其二,以资产、威胁、漏洞风险评估三要素为基础,在告警分析过程中对关联资产的评估参数赋值;其三,基于层次化网络安全风险评估模型,将网络系统划分为系统服务、主机、网络三个层次。一条安全告警的风险值反映对应主机系统服务面临的风险,对告警的安全风险进行积累就量化出系统服务的威胁,从而可计算出服务安全风险指数。以主机内服务安全风险指数为基础就计算出主机安全风险指数,以网络内主机安全风险指数为基础就计算出网络系统安全风险指数。RASA(Risk Assessment& Security Alert)系统是基于上述评估方法实现的原型系统,它收集来自防火墙、IDS、防病毒等安全设备产生的日志和告警数据,并进行统一格式化,然后利用告警相似度方法聚合告警,利用交叉关联确认过滤告警,再对告警进行规则关联,在这过程中提取评估参数的赋值信息,利用风险评估方法量化评估指标,并生成各级风险评估报告。RASA系统的实验结果表明这些评估指标和报告有效地反映出了当前网络的安全风险态势,有利于管理员对安全风险进行评估。