随着网络的飞速发展以及社会信息化程度的逐步提高,网络安全问题呈现出多元化、复杂化的趋势,攻击活动向大规模、协同化和多层次方向发展。人们不断地采用防火墙、入侵检测系统、漏洞扫描工具等各种安全设备来监控网络以抵御入侵。当然,这些产品分别在不同的侧面保护着网络系统。然而,各种安全设备相对独立的部署方式,产生了海量的事件报警,其中充斥着大量重复且不可靠的信息,甚至因此形成“报警洪泛”;同时,这些事件往往反映的是低级别的攻击行为,缺乏有效地融合与关联,使得管理员难以识别潜在的威胁,把握全局的安全状况。针对网络中多源异构安全设备的广泛应用及其产生的安全事件难以有效管理的现状,统一网络安全管理被提出并成为网络安全管理领域备受关注的研究热点。统一网络安全管理平台是集多源数据采集、统一报警评估和事件相关性分析为一体的安全信息及事件管理平台。作为事件相关性分析的核心,一个包括攻击描述、攻击验证、攻击检测、攻击关联、攻击反应等的攻击知识库必不可少。它为各数据源的信息共享和安全事件的关联分析提供知识保障,并直接影响着事件相关性分析的最终效果。然而,目前关于网络安全攻击模型仍然缺乏有效的解决方案。本文使用安全事件来抽象和描述攻击行为,消除低级别粗粒度报警信息产生的弊端,实现对复杂攻击更加精准、全面的描述;设计了基于XML的层次化关联规则,并保证其实用性、可复用性和可扩展性;采用基于验证的入侵检测,有效地从大量安全事件中准确识别出真实的入侵行为;针对多步骤攻击具有阶段性特点,使用面向场景的攻击推理,构造攻击场景,把握网络的整体安全态势;此外,通过重构攻击轨迹链,进一步发现攻击事件间的内在联系,识别其入侵意图和预测下一步攻击行为。最后本文在实验环境中搭建管理平台,采用Netpoke重放DARPA数据集,验证了所提出的攻击模型与事件相关性技术的可行性和有效性。