近些年来,互联网安全问题日益尖锐。随着网络规模的不断扩大及攻击手段的日益复杂,传统的网络安全防护设备已经无法应对大规模网络的安全检测和防护。因此本文提出了一种基于数据挖掘的网络安全态势感知方法,借助数据挖掘技术能迅速地从海量数据中发现有价值的信息的优势实现对网络态势的感知。本文综合运用多源报警融合、数据挖掘、态势感知技术,实现对大规模网络环境的威胁评估,以便及时地对网络威胁作出预警和防御。本文主要的研究工作包含三个部分,如下所述:(1)提出基于特征相似度的报警冗余消除方法。该方法首先使用了IDMEF模型实现对不同安全检测设备产生的报警格式的统一,解决了不同安全检测设备产生的信息无法共享和协同分析的问题。然后改进了特征相似度方法,并通过改进后的特征相似度方法实现对原始报警的融合,减少了冗余报警的数量。最后通过实验证明了本文提出的方法在报警冗余去除上有着不错的效果。(2)提出一种基于改进的Apriori算法的多步攻击序列挖掘方法。本文提出了对经典的频繁项挖掘算法Apriori的改进,并通过改进之后的算法对独立的报警数据之间的关系进行挖掘,挖掘出隐藏在网络中的多步攻击模式,获得更高层的攻击语义。最后通过实验证明改进之后的算法提高了多步攻击序列挖掘的效率。(3)提出一种基于DS证据理论的网络安全态势评估方法。首先以挖掘出的最大多步攻击序列为证据,然后通过DS合成公式融合多条证据,对主机的态势风险值进行准确的评估。再通过网络各主机的威胁态势值及重要程度实现对整个网络态势风险值的计算。最后通过实验证明本方法能够准确得对网络态势进行评估。