网络安全态势感知通过获取网络安全要素、对其进行分析理解,从而完成对整体网络安全状况的分析及预测,其作为一种主动防御技术逐渐成为研究的焦点。本文针对近年来网络攻击威胁逐渐呈现出的大规模、协同、多阶段等特点,利用攻击图结构灵活性,既能展示整体又能反映局部安全状态变迁过程的优点,研究了面向多步攻击的网络安全态势感知方法。通过梳理该领域的研究现状,分析归纳目前存在的主要问题,设计基于攻击图模型的网络安全态势感知框架,提出了一整套网络安全态势感知方法,可有效支撑安全管理员的决策,取得以下研究成果:1.设计了基于攻击图模型的网络安全态势感知框架。针对面向多步攻击的安全态势感知缺乏标准框架的问题,通过分析多步攻击过程,描述多步攻击威胁相关的安全属性,给出攻击图模型的一般定义,在此基础上构建面向多步攻击的网络安全态势感知框架,设计了感知结果和决策选取的闭环反馈机制,解决了目前研究缺乏统一规范描述框架的问题。2.提出了面向生命周期的安全漏洞态势分析方法。针对现有研究缺乏对于漏洞全生命周期的考虑,通过对漏洞在生命周期时间轴上的状态迁移进行建模,构建漏洞生命周期时间模型,利用先验的历史漏洞信息作为模型输入,定量刻画漏洞生命周期各状态在时间维度上的发生概率,更加真实、准确地反映现实世界中漏洞利用态势演化的一般规律,解决了各阶段漏洞利用率动态、定量测度困难的问题。3.提出了基于吸收Markov链攻击图的攻击路径态势分析方法。针对攻击“单调性”假设产生的攻击路径态势分析偏差,通过分析攻击者状态转移的非线性和不确定性特点,利用吸收Markov链对攻击图进行转换,构建吸收Markov链攻击图模型,修正攻击图中含“圈”路径产生的度量偏差,推演分析攻击意图成功的期望概率、攻击路径的期望长度和路径节点访问的期望次数,实现多维度的攻击路径态势精准刻画。4.提出了基于动态贝叶斯攻击图的网络安全风险态势预测方法。针对现有研究缺乏对攻击方、防御方与网络环境态势要素在时空维度动态关联关系刻画的问题,通过构建动态贝叶斯攻击图模型推演多步攻击过程,量化测度态势要素在时空维度上的不确定性和关联性,进一步以多步攻击迭代作为网络系统安全性态势变迁的内生驱动力,通过融合资产、威胁和漏洞信息,将底层攻击行为预测结果映射为定量的安全风险态势值,直观地呈现网络安全的变化趋势,提升态势预警的时效和精度。5.提出了基于态势感知的网络最优防御策略选取方法。针对现有研究缺乏安全攻防双方决策互动性和行为演变性的刻画方法;首先从攻击路径态势分析结果中提取攻防策略集合,利用安全风险态势预测结果量化策略的风险收益;然后从现实攻防双方的有限理性视角出发,构建描述攻防双方策略互动性和行为演变性的博弈模型;最后针对完全态势信息和不完全态势信息两种典型应用场景,分别设计最优防御策略选取方法,并为态势感知提供策略选取反馈意见,通过刻画最优防御策略的演化轨迹,解决动态、复杂、时变网络场景下安全措施难以选取的问题。本文研究成果有助于安全管理人员及时掌握网络安全状况,并对未来可能出现的多步攻击威胁提前做出防护,为打赢网络安全攻防时间战并实施主动防御提供相关理论支撑与方法保障。