态势察觉作为网络安全态势感知的基础,主要包括异常行为检测和已知攻击检测,从而实时察觉网络中的安全威胁及其态势等。然而,海量网络安全数据的高维性、冗余特征以及不相关特征等严重影响了态势察觉的实时性和准确性,特征选择技术虽能在一定程度上帮助其降维,但现有的特征选择算法大多没有关注特征的检测性能,造成所选特征子集的检测率不高,另外,原始特征集和已知攻击库的不断更新也使得能用于态势察觉的最优特征子集随时发生变化,加大了特征选择的困难。本文通过对态势感知特征属性以及态势察觉过程的分析,研究并提出适用于异常检测、已知攻击检测以及动态态势察觉的特征选择算法,选出能真正用于态势察觉的最优特征子集和数据信息,并根据网络中数据的变化动态更新最优特征子集,从而提高态势察觉过程的实效性和准确性,为态势评估和态势预测提供可靠的技术支持和数据支撑。首先,介绍了网络安全态势感知与态势察觉的相关概念和研究成果,分析了态势察觉的重要性及其与异常检测和已知攻击检测的关系,给出态势特征的定义以及特征选择对于态势察觉的重要性,分析了特征选择技术及其研究现状、信息熵与K-means算法及其研究现状。其次,根据异常检测在态势察觉阶段遇到的数据量大、维度高、冗余信息多以及实时性差等问题,提出一种两阶段异常检测特征选择方法。通过改进异常检测常用的K-means聚类:1.选择紧密型较高的K个数据点作为初始聚类中心;2.可能的异常点先不参与聚类,等聚类结束后将其加入距离其最近的类簇。从而提高异常检测的准确性,并结合信息熵和相关度选出能真正用于异常检测的态势特征,实验结果表明该特征选择方法能有效提高异常检测的效率和实时性、缩减数据维度。再次,由于态势察觉过程包括异常检测和已知攻击检测,而适用于异常检测的特征子集并不能很好的用于已知攻击。通过分析态势特征的特性,提出一种基于随机最小冗余条件互信息和SVM的已知攻击特征选择方法。实验表明该方法可以在保证已知攻击检测率的情况下有效提高检测的实时性,降低误检率。最后,通过对动态态势特征选择必要性的分析,结合态势察觉过程,提出了一种基于混合器模式的动态态势特征选择模型。该模型利用了数据提取和对象提取阶段的过程,根据态势要素的变化动态的提取出用于态势察觉的最小最优态势特征子集。实验结果表明,这模型可以根据态势感知数据源或检测性能的变化实时更新最优特征子集,有效地保持态势察觉的准确率和时效性。