现如今,网络入侵已经转变为包含多个单独攻击的复杂攻击,利用多个节点进行攻击,这些攻击被称为多步网络攻击。传统的入侵检测系统只能捕获某个时间段内存在的攻击警报信息,无法将检测到的单个攻击阶段进行关联整合。并且,入侵检测系统检测的警报信息存在大量误报,以及一些低攻击性的攻击有可能被忽略掉。此外,攻击行为发生过程复杂,现有建模方法无法细粒度地反映攻击发生过程,缺乏形式化建模和脆弱性分析方法。针对以上情况,本文以多步网络攻击为研究对象,探讨多步网络攻击场景如何识别和剪枝,进一步使用Petri Net对识别出的多步网络攻击场景进行形式化建模,对模型模拟仿真从而定位风险位置并建立补丁模型,最终保障网络安全。本文研究内容和成果主要包括以下三个方面:（1）设计构建一种基于网络拓扑图的剪枝算法。该方法将攻击场景下的数据流作为输入,通过基于网络拓扑图的剪枝算法来重建多步网络攻击场景。首先,定义数据流五元组、拓扑图节点以及有向边的相关属性,利用这些五元组信息来形式化表征初始网络拓扑图。进而,基于训练好的卷积神经网络模型对正常流量进行第一次剪枝,并基于CTree模型来评估入侵检测系统检测到的告警数据是否可信,即判断告警数据的攻击类型和攻击模式之间的匹配性,根据匹配性进行第二次剪枝,同时通过攻击步骤之间的时序关联性进行第三次剪枝。最终构建最精简、最接近多步攻击场景的拓扑图。与现有多步攻击场景重构方法相比,该方法更加简洁、有效且具有可扩展性。（2）基于Petri Net的细粒度建模方法。提出将Petri Net与攻击行为结合,利用Petri Net的可视化特性和状态机特性,以图形化的方式展现攻击时的漏洞利用过程,辅助确定攻击漏洞和关键节点,同时建立起攻击过程每一个阶段相互转换的关系,对识别出来的多步攻击场景进行表征,实现完整的攻击场景重现。通过将攻击时的漏洞利用过程根据Petri Net建模规则构建成形式化模型,以便于对攻击过程进行建模和仿真分析。通过调节模型模拟运行速度实现超实时仿真用于快速预测攻击,以及细粒度观察攻击细节和脆弱点用于分析攻击目的。最终构建补丁模型,以保障网络信息安全。（3）基于前两项研究内容所提出的方法,本文设计了一套多步网络攻击场景识别与表征系统,涵盖了数据处理、识别重构、场景表征导入、场景表征导出、场景表征运行等多个功能,从而为多步网络攻击场景分析的可视化提供了保障。