目前关联分析等“后入侵检测”技术是安全数据分析的主要方法,主要包括聚合关联、交叉关联、多步攻击关联等。然而它们都是从微观的角度分析安全事件产生告警之间的逻辑关系,要求高质量的告警,而且算法复杂度非常高,当面对大规模网络中海量安全数据时,根本不能有效地发现攻击。　　基于时间序列理论的关联方法能够分析大规模网络中安全数据的宏观行为。根据正常情况下网络安全告警数量的时间序列特点来建立自回归移动平均(ARMA)模型,该模型能够对未来正常状态下网络安全告警数量进行预测,从而达到识别大规模的网络恶意活动如DDoS、蠕虫等的目的。同时在确定告警数异常后,统计发生异常的时间区间内出现最多的Signature、源IP和目的IP等告警属性,再分别获取这些属性的告警在发生网络异常之前对应的告警时间序列,通过相关分析,进而确定对应的告警异常活动的告警属性,定位网络攻击。　　实验平台建立在中国教育科研网的一个100Mbps接入网上,首先采集相关数据作为训练集,确定建模的时间序列长度和时间窗口大小;然后实时的分析实验平台产生的安全数据,大量实验表明此方法能够及时发现大规模网络入侵并对其定位。最后提出了判断告警属性异常的标准,探讨了报告高级告警的阈值设定方法和在网络异常时对模型的修正方法。