随着互联网技术的高速发展,网络能够提供的服务越来越多。更多的网络服务给人们带来了更便捷的生活方式,也带来了更多的网络安全问题。多台主机协同工作,实施多个相关的攻击是网络攻击的发展趋势。入侵检测系统(IDS)作为一种主动防御技术,越来越受到人们的重视。网络攻击预测是风险管理的重要组成部分。如何赋予入侵检测系统(IDS)对多步攻击的关联和预测能力成为人们亟待解决的问题。目前,入侵检测系统(IDS)主要存在的问题是(1)报警信息量过大导致不同攻击者的攻击场景不易被识别和理解;(2)只能检测出攻击,不能预测攻击者下一步的攻击。在以往,重建完整的攻击场景的责任主要留给安全分析人员,然而由于告警事件是海量且价值密度低的以及攻击活动的不断发展,依靠管理员人工从这些琐碎的海量告警中分析出攻击活动的全貌或完整场景,已经不可能了。对此,相关人员做了大量有意义研究。这些研究方案主要存在的问题是(1)过度依赖人类对于复合攻击的先验知识;(2)只针对特定攻击或者特定网络有效而不具有可移植性。围绕目前存在的问题,本文主要做了以下工作:(1)结合IDS日志,定义了攻击序列以及相关概念,在完成相关定义的基础之上,提出了攻击场景重构的算法。该算法能够通过对IDS日志进行处理,提取出IDS日志中包含的所有攻击序列。(2)针对攻击场景重构算法中提取到的攻击序列提出一种各网络通用的编码方式。这种编码方式能够把不同局域网内的抽取到的攻击序列编码成统一的格式。(3)针对编码后的攻击序列,构建了一个基于深度学习的深度神经网络。该网络能够预测与下一步攻击相关的源IP地址、目的IP地址以及攻击名称。(4)在整个模型之上加入持续学习的机制。这种机制使得模型能够随着时间的推移不断进行自我更新。(5)通过实验验证了复合攻击重构的准确性,神经网络预测的准确性以及整个模型的可用性。