网络安全态势感知是近年网络安全领域的一个新兴研究课题,它能全面地反映当前网络安全状况。网络中各种安全设备(防火墙、IDS、病毒检测)、操作系统(包括Windows和Unix)、应用服务等都产生大量的日志数据。这些日志数据详实地记录了系统和网络中的运行事件,通过它可以了解系统运行状况、审核安全事件等,是网络安全态势中的重要数据源之一。通过分析日志,不但可以及时发现系统中有事件发生,并能通过对日志的进一步分析及追溯,可以找出当前的系统漏洞,确定网络安全中的薄弱环节,分析和定位可能出现的攻击,从而采取相应的措施加强网络控制。首先,依据项目需要设计与实现了日志传感器,并分析与设计了日志态势信息模型。在实现日志传感器的过程中,根据日志文件的来源和存在形式对日志的采集进行了分类,实现了Windows系统日志数据、交换机日志数据、Linux系统日志数据和防火墙以及Snort等日志数据的采集。其次,研究了基于蚂蚁堆尸原理的聚类算法,提出了基于聚类算法的多源异构日志信息融合方法的研究,针对蚁群聚类算法的不足,从性能和适应性上加以考虑,对原始蚁群聚类进行了改进。通过设定可变感知范围的大小以及单个蚂蚁的负载能力,减少了蚂蚁不合理的行为以及增加算法的高度并行能力,提高了算法的性能。通过引入动态可变的阈值参数,增加了算法的适应性。实验证明,改进的算法比原始的算法聚类效果更佳,优化了日志数据分析方法。再次,依据对多源日志的分析,研究基于XML的多源信息格式化方法,采用XML和Schema技术来构造全局数据模型,采用Query组织全局查询,采用XMLBeans和Java对XML进行访问和处理,通过基于XML的模式集成方法来生成事件。最后,研究基于XML的集成方案实验,搭建了集成实验环境,进行了基于聚类算法的多源安全信息融合和基于XML的多源异构日志数据安全信息事件生成,取得了不错的实验结果。论文最后总结工作,并提出了下一步的研究重点。