的所有网络安全态势要素。
综上所述，网络安全态势要素的提取存在以下问题：1）国外的
研究从某种单一的角度采集信息，无法获取全面的信息；2）国内
的研究虽然力图获取全面的信息，但没有考虑指标体系中各因素之
间的关联性，将会导致信息的融合处理存在很大难度；3）缺乏指
标体系有效性的验证，无法验证指标体系是否涵盖了网络安全的所
有方面。
第1期席荣荣等：网络安全态势感知研究综述
计算机
应用第32卷3网络安全态势的理解
网络安全态势的理解是指在获取海量网络安全数据信息的基础
上，通过解析信息之间的关联性，对其进行融合，获取宏观的网络
安全态势。本文将该过程称为态势评估，数据融合是网络安全态势
评估的核心。
网络安全态势评估摒弃了研究单一的安全事件，而是从宏观角度
去考虑网络整体的安全状态，以期获得网络安全的综合评估，达到
辅助决策的目的。
目前应用于网络安全态势评估的数据融合算法，大致分为以下几
类：基于逻辑关系的融合方法、基于数学模型的融合方法、基于概
率统计的融合方法以及基于规则推理的融合方法。
31基于逻辑关系的融合方法
f基于逻辑关系的融合方法依据信息之间的内在逻辑，对信息进行融和。警报关联是典型的基于逻辑关系的融合方法。
警报关联是指基于警报信息之间的逻辑关系对其进行融合，从而获取宏观的攻击态势。警报之间的逻辑关系分为：警报属性特征的相似性，预定义攻击模型中的关联性，攻击的前提和后继条件之间的相关性。
i
g等［67］实现了通过警报关联，从海量警报信息中分析网络的威胁性态势的方法。
基于逻辑关系的融合方法，很容易理解，而且可以直观地反映网络的安全态势。但是该方法的局限性在于：1）融合的数据源为单源数据；2）逻辑关系的获取存在很大的难度，如攻击预定义模型的建立以及攻击的前提和后继条件的形式化描述都存在很大的难度；3）逻辑关系不能解释系统中存在的不确定性。
32基于数学模型的融合方法基于数学模型的融合方法，综合考虑影响态势的各项态势因素，构造评定函数，建立态势因素集合r到态势空间θ的映射关系θfr1，r2…r
，ri∈r1≤i≤
为态势因素，其中最具代表性的评定函数为加权平均。加权平均法是最常用、最简单的基于数学模型的融合方法。加权平均法的融合函数通常由态势因素和其重要性权值共同确定。西安交通大学的陈秀真等［11］提出的层次化网络安全威胁态势量化评估方法，对服务、主机本身的重要性因子进行加权层次化计算服r