众所周知,网络攻击者在实施攻击时往往采用多种手段或多个步骤才能达到其目的。传统的入侵检测系统(Intrusion Detection System,IDS)等多种安全设备只能产生大量孤立的低层报警事件,这些事件之间很可能存在某种联系,而这些联系靠对孤立报警的分析是无法获取的,并且这些低层的报警数目众多,其中含有很多重复或错误的报警。针对这些问题,本文利用模糊聚类和因果关联等多种技术来分析源自多个安全设备的报警信息,去除冗余和误报,挖掘这些报警之间的内在联系,构造完整的攻击场景。这种攻击场景描述了不同报警事件之间的关系,能够帮助网络安全管理员更清晰和快速地发现网络攻击之间的本质联系以及攻击者的最终目的。本文首先介绍了构造攻击场景的原因和必要性,并分析了当前主要的攻击场景构造方法的优缺点。然后提出了一种新的构造攻击场景的方法,这种方法主要包括五个模块:报警融合、报警聚类、聚类参数优化、报警关联、攻击场景重构。报警融合模块是用来对采集到的原始报警进行冗余处理,以删除其中重复的报警;报警聚类模块采用的是基于报警属性相似度的模糊聚类算法,其中所使用的聚类参数采用改进后的量子粒子群优化技术进行自适应优化,这种聚类算法主要是对冗余处理后的报警集进行合理分类,这种分类不仅可以为后续模块提供必要的场景参考,而且可以发现和删除很多真正孤立或错误的报警,减少不必要的关联;报警关联采用的是基于谓词的因果关联方法,这种方法可以挖掘大量低层报警中的内在逻辑关系,形成高层的攻击场景图;对于因IDS漏报或攻击知识库不完善而造成的关联图断裂的问题,采用了基于等同约束的假设和推理的方法进行重构,优化攻击场景。最后通过实验来分析和证明本文所提出的攻击场景构造方法的优越性和实用性。