随着互联网络的迅速发展，网络攻击技术也变得复杂而又巧妙，网络攻击事件的数量每年都在大幅度上升。入侵检测技术是现代网络安全模型中的关键环节，然而入侵检测技术面临着网络复杂性、攻击复杂性带来的挑战。现有入侵检测系统庞大的报警数量以及极高的误警率严重限制了其使用。报警关联技术被认为是解决入侵检测系统以上问题的有效途径。报警关联是对以入侵检测系统为核心的网络设施的报警或日志的组合、解释和分析，其目标是对报警信息的求精、攻击场景重构和攻击趋势分析。 本文的主要工作是集中在报警关联的攻击场景重构及特定攻击序列的分析技术上。实现的实时报警关联及其分析工具由三部分组成：攻击知识模型，状态报警关联和交互式报警分析子系统。 攻击知识模型研究的是与攻击相关的攻击者、受防系统、入侵检测系统以及它们相互影响和相互作用的关系。将攻击动作看作是一种非法的改变受害系统状态以及攻击者主观状态的行为，分别从状态对动作的支持、动作对状态的影响两方面建立攻击动作模型。 状态报警关联根据实时报警流，定量地评估系统安全态势，跟踪系统状态的演变，并且构造攻击场景。本文实现的系统以攻击知识模型为基础，依据系统状态的变化，动态地生成一张记录状态和攻击动作的关联图，采用逆序搜索方式找到所有相互依赖的攻击序列。同时显式地维护并跟踪受害系统状态随着被观察到的攻击动作变化的过程。 交互式报警分析子系统包括一系列的交互式分析工具和一个图形化接口，而且这些分析工具是独立于报警关联子系统的。因此，它们可以循环地在分析结果之上再做分析。在一般情况下，一个分析员也倾向于对大数量的数据集有一个概括性的分析，然后再专注于他关注的细节问题上，本文的报警分析工具就是帮助分析员在基本分析的基础之上完成对攻击序列细节问题的分析。 本文最后给出了对实时关联系统的实验结果，以DARPA2000为数据集，较好地完成了在线攻击场景描述，同时利用报警分析工具大大优化了关联分析的结果。