Internet目前面临严峻的安全威胁，网络入侵检测和关联分析技术能有效地发现并理解这些威胁，构成了动态网络安全模型的关键环节，也成为目前网络安全领域的热点研究问题。 本文以提高对网络攻击事件的发现和理解能力为研究目标，对网络入侵检测以及行为关联分析技术进行研究，主要包括：结合多种检测方法的网络入侵检测系统、基于信息融合技术的入侵行为关联分析模型和方法、以及蜜网环境中的攻击数据分析方法三部分。 1.结合误用检测和协议分析检测方法，设计并实现了基于应用协议检测引擎的网络入侵检测系统Morpheus；并提出了一种基于D-S证据理论的网络异常检测方法，融合多个特征对网络流量进行综合评判，有效降低了误报率和漏报率，通过DARPA1999年IDS基准评测数据的实验表明，该方法在低误报率前提下，达到了69﹪的良好检测率，这一结果优于DARPAl999年IDS评测优胜者EMERALD系统的50﹪检测率和同期一些相关研究成果。 2.首次提出入侵行为关联分析概念，并给出基于信息融合的入侵行为关联分析方法。 网络攻防知识建模研究为关联分析提供领域知识的支持，本文使用结合了面向对象、一阶谓词逻辑和贝叶斯网络的知识表示法，对网络攻防领域中的知识内容及其关联关系进行形式化描述，并给出系统化的知识库构建方案，实现了网络攻防知识库Poseidon。与现有的网络攻防知识库相比，Poseidon知识库具有形式化、系统性以及知识结构相对稳定等优势，易于构建和维护。 网络环境自动感知机制为关联分析提供上下文信息支持，本文构建了网络环境信息模型，并结合自动探测和被动指纹匹配技术实现了网络环境自动感知工具N-Eye。 在网络攻防知识模型和网络环境自动感知机制的支撑下，提出了基于信息融合的入侵行为关联分析方法，以逐层求精的分析过程从大量观察数据中识别并预测攻击者规划和意图。在核心的情境求精和威胁求精过程中，本文在人工智能领域中经典的规划图和目标规划图模型基础上，为应对网络攻防问题复杂性，引入对观察节点、动作节点分层结构以及不确定性关系的支持，形式化定义了扩展目标规划图模型，给出了基于该模型的攻击规划识别及预测算法，并证明了攻击规划识别算法的完备性与有效性，及该算法的多项式时间和空间复杂度。 实现了入侵行为关联分析原型系统Athena，并针对DARPA2000数据集进行了业务网络环境中的攻击场景理解实验，达到了100﹪的关联完备性与平均90﹪的关联有效性，这一结果验证了本文提出的入侵行为关联分析方法的完备性与有效性，同时关联有效性在保持与著名入侵报警关联分析系统TIAA相当的前提下，关联完备性较之有显著的提高。 3.提出了蜜网环境中的聚焦、统计和关联分析方法，通过实际僵尸网络攻击场景监测实践说明该方法能有效增强蜜网数据分析能力，也验证了入侵行为关联分析方法的实用性。 综上所述，本文为了提升对安全威胁的发现和理解能力，在网络入侵检测技术研究基础上，首次提出了入侵行为关联分析概念，并给出基于信息融合的入侵行为关联分析方法，以业务网络攻击场景理解实验和蜜网环境实际僵尸网络场景监测验证了其有效性和实用性。 本论文工作在北京大学计算机科学技术研究所信息安全工程研究中心完成，得到国家242信息安全计划(基于蜜网技术的僵尸网络监测系统研究)，863计划(入侵检测与灾难恢复)，2004年“微软学者”计划以及2005年“IBMPh.D.Fellowship”计划资助。