当前,网络中出现了很多新的复杂的攻击行为,其中APT攻击成为被关注的重点。在基于安全日志检测APT攻击方面,一般会事先建立攻击模型然后将日志与模型进行关联,但往往依赖于模型的完整度,不完整的模型会导致一些警报无法匹配而被漏掉,然而构建全面完整的APT攻击模型也是比较困难的。针对这一问题,本文研究了如何从安全日志中挖掘出攻击场景模型,提出了一种基于杀伤链和模糊聚类的APT攻击场景生成方法,能够从安全日志中挖掘出场景。本文分析了杀伤链每个阶段的目的性,对攻击事件进行划分,然后在模糊聚类中增加了对事件阶段性的判断,使形成的类簇内警报之间关联度更大。然后根据APT攻击警报的特点筛选攻击序列,通过概率转移矩阵转换为攻击场景模型,为APT的检测提供依据。本文的具体工作内容如下:1.提出了一种基于杀伤链和模糊聚类的APT攻击场景生成方法。本文分析了入侵检测系统警报日志各个属性的特点,阐述了基于杀伤链模型从攻击后果和IP地址两个角度对攻击事件进行分类的方法;详细介绍了使用攻击事件、IP、时间戳属性进行模糊聚类的算法以及进一步筛选攻击序列转换为攻击场景的方法。2.对基于杀伤链和模糊聚类的APT攻击场景生成方法做了详细设计与实现,并阐述了各个模块的实现流程,给出了各模块的流程图。3.采集数据进行实验,分析实验结果,结果表明本文所提出的方法能够挖掘出警报日志隐藏的APT攻击场景,并将不同攻击者的攻击过程分离,验证了本文所提方法的有效性。以此为基础,对本文所述方法的实验结果和存在的问题进行了分析和总结,分析了可进一步优化的方向。