互联网的迭代发展催生技术革命,促进社会的变革;但作为一把双刃剑,网络世界的兴起也带来了严峻的安全挑战。近些年层出不穷的网络安全事件严重影响了社会秩序,传统的后知后防模式的安全技术在应对多维度,多步骤,高隐蔽的网络攻击时略显乏力。为主动发现隐藏在复杂网络数据中的攻击意图和攻击细节,网络安全态势感知（Network Security Situation Awareness,NSSA）技术应运而生。网络安全态势感知被视为一种对网络安全状态的认知行为,需要大量的底层数据作为支撑,记录网络状态信息的日志数据是态势感知实验的数据来源之一。在实际操作中,原始数据需要一定的处理才能满足网络安全态势感知的需求,本文将根据网络安全态势感知的实际数据处理需求,通过数据缩减模块、数据融合模块和数据检索模块三个方面展示多源数据融合系统的细节,为网络安全态势感知提供完善的数据支撑服务。数据缩减模块主要解决日志数据在归档时存储空间过大的问题。网络取证（Network Forensics）技术要求服务器保留一段较长时间内的日志数据等信息,当某次攻击暴露时,可逆向推导出网络攻击的步骤和细节,这导致服务器需要提供较大的存储空间用来实现数据存储。由于数据融合速度与日志数据获取速度不对等,服务器需要在本地缓存日志数据。为缓解服务器的存储压力,本文根据局部时间内日志属性的相似性对原始数据进行数据缩减处理,在保证不破坏原有日志结构的基础上大大减少日志数据的存储空间。数据融合模块主要实现对日志数据的富化和融合功能。在网络中传输的数据包局限于数据长度,仅提供少量关键性数据,不利于深度分析网络现状。现有日志系统通常将网络日志细分为多种类型,尽管处理后的日志文件拥有丰富的数据类型,但这种分布结构不利于网络安全的整体性分析。本文根据原始日志数据中的已有信息,结合IPCIS（IP Comprehensive Information System,IP综合信息系统）和威胁情报库,完成原始数据在管理归属、地理位置和威胁情报等属性上的富化操作,同时融合不同类型的日志数据,为网络安全态势感知提供不同领域的相关信息,提高分析结果的可靠性。数据检索模块主要用于提供数据融合结果的检索与查询,包括完整的检索语言和可视化操作界面。网络安全态势感知在实际使用中并非需要全部的数据,实验人员根据分析的需求通过诸如时间戳、字符串和IP等特定条件来选取部分数据进行分析。为支持融合结果查询请求的快速响应,本文利用丰富的数据类型来描述事件,利用位图索引来实现快速命中,利用精炼的检索语言提供查询服务。同时,数据缩减模块还可以通过Web页面向用户提供数据的检索展示和下载等服务。