当前攻击技术的复杂化、隐蔽化及分布化,使得网络安全管理面临着安全报警数据量巨大,零散冗余,及误报严重三大问题。人工分析这些海量报警极为困难。一个有效的解决办法就是通过一套网络安全事件的关联分析方法,对数据进行关联分析,挖掘报警之间的本质联系,从而及时有效地从海量零乱的告警数据中发现潜在的安全事件及其攻击意图,继而采取防御措施确保网络安全。提出了一种基于树形规则的网络安全事件关联分析方法,该方法通过对告警相似度的计算来聚合同一类型网络安全事件,并利用树形规则中节点之间的关系来定义同一攻击场景的告警关系,从而将零散存在的告警组织成为一个完整的攻击场景。同时,该方法能通过对告警的可信度评估来识别误报警。首先为已知的攻击场景勾勒因果关系,创建对应树形规则:根节点表示攻击的起点,叶子节点是一个攻击的终点;父节点是子节点的前提,而每个子节点就代表该攻击的一个发展方向。然后在线将报警与树形规则匹配,匹配深度越深,攻击成功的可能性就越大。告警相似性通过告警属性相似度确定,不同属性的相似度计算方法不同:IP地址之间的相似度由掩码位数确定,攻击类型的相似度通过维护一张表来确定,等。只有属性相似度均超过其门限值,才认为两个报警具有相似性。可信度表明了这个告警反映攻击的成功概率。可信度的评估主要有两个依据:一是相似度算法聚合报警的数量,聚合的数量越多,越可信。二是树形规则的匹配深度,匹配每前进一步,表明攻击者已经达到前一步攻击的意图,可能正要采取进一步的攻击,该安全事件的可信度会相应增加。试验表明,该算法能有效地聚合相似报警,减少告警数量,识别高威胁度安全事件和去除无用告警,有很好的关联效果。