随着网络技术的飞速发展和服务功能的日益丰富,网络系统已成为维持社会生活安全有序高效运转的基础设施;与之相伴的是网络空间安全事件层出不穷,直面网络安全挑战,为增强网络安全防控能力,亟需符合实际攻防场景的安全威胁预警与防御决策方法。由于微分博弈理论与实际网络攻防特性高度吻合,本文基于微分博弈理论研究网络安全威胁预警与防御决策问题,从实际网络对抗的攻防高频化、连续化特征出发,构建微分博弈模型,提出安全威胁阶段性预警、过程性预警以及实时防御决策方法。主要工作包括以下几个方面:1.针对连续对抗的网络攻防场景,基于安全威胁预警和防御决策一体化设计的思想,在微分博弈模型的基础上量化分析安全威胁与防御决策过程的组成要素,研究提出一体化网络安全威胁预警与防御决策框架,刻画威胁预警与防御决策总体结构、流程机制和关键技术,提高威胁预警和防御决策之间的联动性和整体性,增强网络安全防护整体效能,为后续预警与决策方法的研究提供理论支撑和实践指导。2.针对阶段性威胁预警现有的博弈模型无法分析连续攻防行为的问题,提出了基于定性微分博弈模型的网络安全威胁预警方法。首先,根据网络拓扑结构和功能差异划分网络区域,利用传染病动力学模型分析刻画网络安全状态空间及安全威胁传播。进而引入定性微分博弈理论分析连续攻防作用下的安全威胁程度变化过程,构建网络攻防定性微分博弈模型,计算求解攻防界栅,将网络安全状态空间划分为捕获区和躲避区。最后,结合多维空间欧氏距离设计网络安全威胁阶段性预警算法,提高了预警结果的时效性和准确性。3.针对过程性威胁预警现有的威胁分析方法客观性不足、时效性不强的问题,提出了结合定性微分博弈与演化博弈的网络安全威胁预警方法。首先,基于阶段性威胁预警研究过程中的攻防定性微分博弈模型,借助攻防界栅作为安全威胁度量基准;同时从行为人有限理性的角度出发,构建攻防演化博弈模型,基于对博弈均衡的求解分析,预测网络安全状态的实际演化轨迹。将两者相结合应用于安全威胁预警问题上,依据演化轨迹与攻防界栅之间的多维空间距离分析网络安全威胁程度的动态变化趋势,设计网络安全威胁过程性预警算法,使得预警模型与方法更具时效性、客观性和实用价值。4.针对网络安全实时防御决策问题,提出了基于Markov微分博弈模型的网络防御决策方法。针对实际网络攻防状态在长时间对抗下容易受到随机干扰影响而改变,将一定时间内的网络对抗转化为多个阶段且各阶段持续时间较短的连续攻防过程。基于此,构建Markov微分博弈模型进行攻防行为分析,利用Markov随机过程描述各阶段之间网络系统状态的随机跳变,采用定量微分博弈理论分析各阶段内的连续对抗过程,并引入时间折扣因子量化计算策略收益,设计基于Markov微分博弈的最优防御策略选取算法,为网络安全实时防御决策提供指导。