在复杂网络环境中，态势感知技术根据警报数据实时捕捉多种安全要素及其引起的态势变化，对网络安全进行感知和预测，在安全建设中发挥着重大作用。然而，互联网中海量威胁日志和事件信息带来了极高的分析复杂度，甚至造成了评估和感知技术的误判问题，给安全管理带来了极大挑战。因此，警报事件的过滤起到了重要作用，并且过滤的细粒度、准确性是后续可靠安全态势评估的基础。文中提出了一个面向多源网络攻击告警的层次化数据过滤模型EHFM,并将其应用于一个安全态势感知系统中。EHFM包含5层过滤器，为多源告警日志设计了统一格式，提出了联合性能熵之差的概念，并结合模糊层次分析等方法，对大量的警报进行统一、精细、定制化的过滤，从而提升安全态势评估算法的准确性、灵活性，解决了网络攻击告警规模过大导致的安全状态误判问题。通过对上述EHFM过滤模型和态势感知系统的代码实现，该方案的可行性得到了证明。经过大量实验，结果表明，该方案能够对恶意事件进行精细的分类和过滤，有效避免外界环境因素带来的误判，在大规模网络攻击告警的场景下提升安全态势评估算法的准确性。

• 单位
  鹏城实验室; 北京大学深圳研究生院