近几年来,互联网通信技术飞速发展,给人们的生活带来了诸多便利,然而互联网本身所具有的开放性、网络协议和各种应用软件本身固有的不完善,使得网络中的设备存在许多潜在危险,随之而来的网络安全问题逐年呈现着上升趋势。通常情况下,网络中会部署大量安全设备,如防火墙或入侵检测系统(IDS)等,用以检测或防止各种网络攻击行为。其中,IDS是网络管理员对网络安全状态进行分析的重要设备。然而,IDS产生的警报数量庞大,且警报都是低级且孤立的,对这些警报进行分析效率低下。通过对警报进行关联分析,重构攻击场景,能够提高管理员对于警报的分析效率,方便网络管理员对网络的整体安全状况做出准确的把握。目前攻击场景重构方面的研究还有许多问题,一方面,许多算法对于专家知识库有很大的依赖,而知识库是否准确、是否能够得到及时更新都是问题。另一方面,多数攻击场景的重构算法目标是重现攻击者的攻击步骤,缺少从网络整体的角度对警报的关联和分析。针对这些问题,本文进行了深入研究,主要工作如下:(1)提出一种基于粗糙集的警报聚合算法。该算法以粗糙集理论为依据,利用已有警报提供的信息,首先计算了警报事件中各个属性的权重,按照该权重可以计算两个警报事件的相似度,并在此基础上加入考虑其时间间隔的处理,判断是否能对两个警报进行聚合。(2)提出了一种基于IP相关性的警报关联算法。首先根据对多步攻击特点的总结,指出警报之间应该有时间序列上的联系,同时借鉴其他算法中IP相关性的关联思想,对聚合后的警报进行关联,最终构建攻击场景。(3)通过实验分别对聚合算法和关联算法进行分析评估,实验结果表明该算法可以有效重构攻击场景,从微观和宏观对网络安全状态进行分析,还能通过重构的攻击场景分析IDS可能出现的漏报。