ituatio
aware
esssa）是指“在一定的时空范围内，认知、理解环境因素，并且对未来的发展趋势进行预测”［1］，该定义的概念模型如图1所示。但是传统的态势感知的概念主要应用于对航空领域人为因素的考虑，并没有引入到网络安全领域。1999年，bass等［2］指出，“下一代网络入侵检测系统应该融合从大量的异构分布式网络传感器采集的数据，实现网络空间的态势感知（cyberspacesituatio
alaware
ess）”，并且基于数据融合的jdl（joi
tdirectorsoflaboratories）模型提出了基于多传感器数据融合的网络态势感知功能模型。如图2所示。虽然网络态势根据不同的应用领域，可分为安全态势、拓扑态势和传输态势等，但目前关于网络态势的研究都是围绕网络的安全态势展开的。e
dsley［1］和bass［2］为网络安全态势感知的研究奠定了基础。基于e
dsley［1］态势感知的概念模型和bass［2］的功能模型，后来的研究者又陆续提出了十几种网络安全态势感知的模型。不同的模型组成部分名称可能不同，但功能基本都是一致的。基于网络安全态势感知的功能，本文将其研究内容归结为3个方面：
f1网络安全态势要素的提取；2网络安全态势的评估；3网络安全态势的预测。下面将从这3个方面对网络安全态势的研究进行详细的阐述。2网络安全态势的提取准确、全面地提取网络中的安全态势要素是网络安全态势感知研究的基础。然而由于网络已经发展成一个庞大的非线性复杂系统，具有很强的灵活性，使得网络安全态势要素的提取存在很大难度。目前网络的安全态势要素主要包括静态的配置信息、动态的运行信息以及网络的流量信息等。其中：静态的配置信息包括网络的拓扑信息、脆弱性信息和状态信息等基本的环境配置信息；动态的运行信息包括从各种防护措施的日志采集和分析技术获取的威胁信息等基本的运行信息。国外的学者一般通过提取某种角度的态势要素来评估网络的安全态势。如jajodia等［3］和wa
g等［45］采集网络的脆弱性信息来评估网络的脆弱性态势；
i
g等［67］采集网络的警报信息来评估网络的威胁性态势；barford等［8］和dacier等［9］利用ho
ey
et采集的数据信息，来评估网络的攻击态势。国内的学者一般综合考虑网络各方面的信息，从多个角度分层次描述网络的安全态势。如王娟等［10］提出了一种网络安全指标体系，根据不同层次、不同信息来源、不同需求提炼了4个表征宏观网络性质的二级综合性指标，并拟定了20多个一级指标构建网络
f安全指标体系，通过网络安全指标体系定义需要提取r