随着网络在社会各个领域内的普及,网络与信息安全问题越来越突出。网络每天承受数百万次的入侵和攻击。电脑罪犯、恐怖分子和黑客越来越擅长侵入政府和私人网络从事间谍活动,窃取重要数据或是侵袭重要基础设施。为了应对网络危机和信息灾难,各种各样的网络安全防御技术不断地推出。其中入侵检测技术是核心技术之一,但由于入侵检测系统产生海量报警数据,误报漏报问题严重,报警层次低,无法关联出多步攻击场景,给出攻击的高层策略,管理代价巨大,甚至入侵检测系统形同虚设。而报警关联技术能够弥补这些不足和缺陷,并成为当前网络安全的重要研究方向之一。文中介绍了网络攻击时间的顺序性,步骤的不确定性、分布性和协同性等特点,并依据网络攻击分类的原则对已有的基于经验术语、单属性、两维度多属性,多维度多属性、漏洞威胁的攻击分类进行分析,并进一步从实际应用的角度进行了评价。攻击分类的描述应反映到报警数据模型的属性特征上。然后选择核心属性特征,结合专家经验,对入侵检测系统产生的报警数据进行分类。本文从粒计算的角度依据粒化、分层、聚焦等原则把报警信息分类为3种粒度：满足冗余关系的粒度、满足相似关系的粒度和满足因果关系的粒度。然后,对于不同粒度的报警数据采用不同的处理方法。本文对已有的报警处理方法及报警关联架构模型进行了梳理分析,并比较分析了各自的优缺点,在此基础上提出了一种新的报警关联模型。该模型通过事件关联把具有相似关系的报警信息关联后存储为元报警,然后根据报警类型知识库转换为超报警,最后根据超报警之间的因果关系进行攻击关联,构建出攻击关联图。同时,在前人提出的攻击关联方法的基础上提出了一种改进的攻击关联算法,该方法具有一定的实时关联处理能力。实验表明,该模型精简了报警数量,提高了报警处理效率,对识别攻击意图和提高报警准确性有较好的效果。