如何全面衡量网络安全状况,对攻击行为进行准确分析和预测,在威胁到来之时,给出及时有效的应对方案迫在眉睫。网络安全态势感知(NSSA)技术对入侵检测,攻击行为定位和网络安全的发展趋势预测具有重要意义。现有研究成果存在以下问题。首先,多侧重于单方面要素的分析,对攻防相关关系的认知不足,难以全面评估安全态势;其次,博弈理论中的完全理性假设与实际情况不符,难以在现实网络中推广使用;最后,若只考虑网络单状态来对安全态势进行评估,难以评估攻击阶段中的网络状况,无法从宏观角度分析大型复杂网络,保护网络系统安全。针对上述存在的问题,本文针对现实网络中攻防双方有限理性限制下和攻防的动态变化过程,将演化博弈论运用到网络安全的攻防对抗研究中,结合Q学习网络状态转移方法,提出了多状态网络安全态势评估方法。本文的创新点和主要工作如下:(1)在提取网络系统中的安全属性数据的基础上,提出了改进的网络安全度量方法。通过综合考虑每一个网络状态的系统损失、攻防成本,引入防御回报,对攻击阶段的攻防策略收益有一个较为全面的度量。(2)在引入状态转移成本的基础上,使用Q学习算法对网络的状态转移进行研究。使用当前网络中的攻击策略实时调整Q值矩阵,从而推断出网络的状态转移路径。不仅实现了对网络攻防多状态的动态分析推演,还缓减了以往攻击图在概率上对专家知识库的依赖。(3)本文从攻击和防御的对抗关系角度出发,提出了一种基于攻防演化博弈(MADEG)的网络安全态势评估算法。构建了MADEG模型,提出了多状态演化稳定均衡的求解方法。引入演化初始概率,构造复制动态方程,寻找演化稳定策略下,攻防双方的最佳收益及最优策略。从攻防双方的经济效用出发,对多状态网络受到的不同危害程度进行评估。此外,演化博弈考虑了攻防双方的非理性行为,MADEG算法中得到的演化稳定策略改善了经典博弈中混合策略下的不明确策略的缺点。(4)本文通过MADEG算法分析整个攻击前后的网络安全状况,并和思科模拟平台实验仿真得到的网络状态转移过程进行了对比,验证了状态转移过程的一致性,此外MADEG算法得出的安全态势曲线完全刻画了整个系统的安全动态走向。验证了算法的有效性,有助于网络安全管理员根据网络实际价值及现有状态来制定网络安全防御策略。