当前网络技术发展迅猛,网络攻击方法层出不穷,多步攻击事件愈发频繁。如何在多步攻击场景下对网络安全威胁进行评估、如何有效抵御APT攻击、如何进行自动化防御决策,已经成为当前网络安全领域的重点话题。移动目标防御体系引入了网络的动态性与多样性,通过消除攻击者随时间积累攻击资源的优势,实现对APT攻击的防御。目前的平台动态化移动目标防御体系多基于轮换重置等简单随机化方法,提供的动态安全能力有限。此外,已有的基于移动目标防御体系的最优决策方法所包含的防御机制多为简单防御措施,只实现了动态决策过程,未考虑动态化防御方法。针对这些问题,本文进行了如下研究:(1)提出了多维威胁评估方法。该方法在多源信息融合的威胁评估领域,结合性能劣化、漏洞评估和日志分析,从保密性、完整性和可用性三个安全维度上进行评估,相较于基于日志分析的评估方法,误报率明显下降。(2)在移动目标防御体系下,使用贝叶斯攻击图对核心资产进行威胁评估。此外,综合考虑防御成本与系统承受能力,本文提出熔断阈值控制重置策略,并通过模拟实验证明该方法可以有效评估APT攻击的安全威胁及趋势;以及在提升攻击者能力的场景中,证明了基于简单随机的动态防御策略仅具有有限的安全能力。(3)提出系统依赖图的概念,并在其基础上提出了两种多样性扩展防御机制:随机派生算法和遗传算法。系统依赖图描述了系统镜像中所使用的操作系统、应用及其配置,以及配置间的依赖关系和依赖程度,为“系统-应用”级动态化提供理论支撑与实践基础。随机派生算法通过随机组合操作系统和各个应用实现多样性扩展,遗传算法通过重组应用配置实现应用级多样性扩展。实验表明,随机派生算法运行效率和稳定性高,但多样性能力有限。而遗传算法虽然运行效率和稳定性稍差,但多样性好,且在个体安全性上具有一定的筛选进化能力。(4)考虑移动目标防御体系的动态化特性,提出基于置信状态马尔科夫决策过程的最优防御决策。通过威胁评估方法,估计因防守方能力受限而无法获得的即时收益值,并通过评估系统模拟交互实现Q-learning算法。实验表明本文的防御决策方法收益稳定,适用于因动态防御导致环境变化的决策场景。本文在Docker容器的环境中,基于Dockerfile实现上述防御机制,并结合评估方法和决策机制构建了完整的自适应防御体系,通过多样性扩展机制弥补了已有平台动态化防御的不足,并使用置信状态马尔科夫决策过程综合考虑防御效果与成本,解决了动态防御的最优决策问题,实现了动态防御机制上的动态决策能力。