随着互联网技术的快速发展,网络越来越成为当今社会不可或缺的组成部分。技术的不断进步给人们的生活带来巨大的改变的同时,也面临由网络威胁带来的信息泄露、隐私侵犯以及财产损失等问题,网络安全受到了越来越多的关注。为维护网络安全,保障网络的安全运行,各种各样的安全设备被安装在网络中,以便能够利用多种安全设备生成的安全情报数据,进行的网络环境中的威胁感知与评估。当前的威胁感知与评估研究大多是对告警这一类安全情报进行分析、处理和可视化等方式实现,不能有效利用不同设备数据之间的关联性,得到的评估结果仅能反映面临的外部攻击威胁,对自身内部的威胁的体现有所不足;且在告警的分析处理过程中,为实现较好的分析效果,需要依靠专家知识的支持和大量的运算,这些因素导致了告警分析在实际的生产环境中运行时需要进行不断的调试和优化。本文基于网络威胁感知技术,提出了基于多设备告警信息的威胁感知与威胁评估技术,通过多种安全设备的告警日志,实现对系统内外部威胁的感知与评估,本文研究目标包括改进基于IDS告警的威胁感知方法;研究通过多种安全设备生成的告警数据进行威胁评估的方法以及基于以上研究完成一个威胁感知与评估系统的设计与实现。本文主要研究内容主要包括三部分。首先,研究基于告警的威胁感知方法,采用告警聚合技术、关联分析技术以及模式匹配进行威胁的感知。在告警聚合技术上,提出了文本相似度的聚合方法,以及基于匹配和搜索的攻击阶段判定方法。其次,研究多维信息威胁评估方法,确定了以通过告警分析得出的威胁度来反映外部攻击威胁,以漏洞、端口的脆弱性指标反映系统内部风险的评估体系。最后,基于上述的威胁感知方法,本文设计和实现了基于多设备告警信息的威胁感知与评估系统,该系统以IDS告警作为前端数据,结合告警分析技术、漏洞扫描技术、端口扫描技术、爬虫技术等对主机面临的威胁进行感知及评估。实验结果表明,此系统在威胁感知上通过聚合和匹配的方法保证了较高的效率和较好的准确性,能够识别当前攻击的类型以及所处的阶段,同时威胁评估数据也能够适配威胁感知的结果。