随着计算机网络迅速普及和扩张,网络攻击和非法访问事件飞速增长,网络安全形式日益严峻。网络信息安全已经影响到生活、经济甚至是国家安全。防火墙、入侵检测系统等多种安全防护技术的出现,对网络安全防护起到了积极的作用。遗憾的是,入侵检测系统在提高安全防护效果的同时也产生了海量的初级告警数据(大部分为误报和冗余事件),不便于用户理解告警的含义并采取恰当的措施。因此,通过应用告警关联方法开发实用的入侵检测系统,通过关联分析告警信息生成清晰的攻击过程描述,通过生成综合告警来减少误告警的数量提高检测效率变得非常必要。本文在对安全事件关联分析技术总结与分析的基础上,提出了一种基于层次式聚类的多特征关联方法,结合不同聚类方法的特点对告警事件进行特征关联,在充分体现不同算法优点的同时避免了因方法单一而导致的聚类结果的单一性。此外,本文还对基于CAPABILITY的因果关联方法进行了研究并加以改进,对模型的实现过程给出了详尽的描述,通过实现主机配置信息匹配模块精简了模型的报警数量,提高了关联准确度。实验结果分析也验证了改进的因果关联方法针对多步攻击事件关联的有效性,并使得最终生成的攻击关联图准确明了地体现出多步攻击之间的因果关系。