近年来,随着计算机网络技术的迅猛发展,网络安全问题也日益突出。入侵检测系统作为信息安全保障体系中不可或缺的重要环节,被更多地用于安全防护。然而,目前的入侵检测系统还存在着诸多不足:首先,每天数以千万计的告警信息使得安全管理员无从招架,而这其中绝大多数都属于低层次的告警;其次,多个入侵检测系统之间缺少协同工作能力,安全管理员只能孤立地分析不同入侵检测系统各自提供的告警,难以对整网的安全状况有深刻的把握;再次,无法有效地检测出复合攻击,难以准确预测攻击者将要采取的攻击行为。为了解决上述问题,人们提出了各种告警关联技术来自动关联有逻辑联系的告警信息,尤其是其中的因果关联方法已成为该领域的研究热点。为了使因果关联方法能更有效地运用于入侵检测系统,本文引入了描述逻辑和能力这两个概念。这里,能力被用来细粒度地刻画攻击者的攻击目的,它是不同攻击之间进行逻辑关联的最基本单元。但为了能全面表达攻击者的不同攻击意图,所需定义的能力数量往往是相当多的,它们之间的关系也错综复杂。而具有强大表达能力和推理能力的描述逻辑这时就有了用武之地,通过描述逻辑可以有效地定义和组织各种能力以体现它们之间的内在联系,并在此基础上进一步建立起不同攻击之间的关联关系和可替代关系。因此,本文的研究工作就是:以描述逻辑为基础,用它来对攻击进行统一定义;以攻击场景为载体,用它来分析匹配相继出现的告警信息;以能力集为纽带,用它来串联起一幅幅攻击场景,从而能清晰地展现不同告警之间所隐含的逻辑关系,进而为实现关联归并提供依据。在此思想基础上,进一步提出了基于描述逻辑的IDS告警关联模型。本模型以攻击知识库为核心,通过简单的查询应答方法来对实际出现的告警信息进行关联归并,并预测后续可能出现的攻击行为。模型的重点在于攻击知识库的建立,本文对此做了详细的介绍和说明。最后,通过模拟实验说明了本模型的有效性,用它不仅能检测出复合攻击,还能预测攻击者将要采取的攻击行为。