为了解决存在的上述问题,该文在深入分析入侵技术的基础上提出了一个基于因果关系的入侵事件关联方法.即,如果一个攻击的结果是另一个攻击成功的前提条件之一,那么我们说,这两个攻击是关联的,是同一系列攻击中的两个步骤.基于因果关系的入侵事件关联方法的核心是前提和结果的确定,该文对如何系统定义前提和结果进行了讨论,包括根据攻击结果进行的攻击类型分类、攻击集的确定、前提和结果的分解等.该文根据本事件关联分析方法设计并实现了一个事件关联分析器,并利用两个实验的结果验证了它的有效性.事件关联分析器有四个优点和特点:首先,可以有效减少误报的数目,有利于系统管理员更快地发现攻击;其次,可以有效减少需要用户关注的警报数目,使用户可以更轻松地管理和分析警报;第三,可以提示黑客入侵的一系列步骤,有利于发现他的入侵策略,方便系统管理员进行针对性的应急措施;第四,可以一定程度地预见攻击步骤,使得用户可以采取补救措施去阻止接下去的攻击.事件关联分析器可以作为现有的IDS产品的辅助分析工具,帮助用户快速理解攻击事件、提高入侵应急响应速度.