入侵检测系统(Intrusion Detection System,缩写为IDS)作为近年来迅速发展的网络安全设备,扩展了管理员在监视、审计、攻击识别和响应等方面的安全管理能力。然而,IDS的工作原理、所处的网络层次和性能问题决定了其所获取和分析信息的局限性,在实际应用中暴露出一些问题:1) IDS给出的告警大多是低级和孤立的,无法传达告警之间可能存在的某种联系;2)海量繁杂的告警信息难以人为管理;3) IDS主要采用异常检测或误用检测方法,它们都容易产生漏报或误报。由于以上问题的存在,研究者已开始通过挖掘攻击事件之间的关联关系来提高检测信息的准确性和可用性。通过对告警事件的关联分析,能够重建入侵者的攻击场景,目前效果较好的方法为因果关联分析。因果关联方法基于入侵行为所需的攻击前提和造成的攻击结果,将告警按因果关系关联起来形成攻击场景图。然而,因果关联非常依赖于完善的专家级知识库信息,而且受漏报和误报告警影响很大,另外算法复杂度也较高。传统概率关联也是一种典型的关联方法,它的优点是简单易行,一般不受先验知识的约束,也能够发现一些新的攻击,然而概率评估函数定义困难,而且它不能完全揭示告警之间真正的内在联系,可扩展性不强。攻击者在实施攻击时往往采用多种手段或多个步骤才能达到其目的,本文根据一般多步攻击的特征,提出一种混合的基于因果关联和概率关联的攻击场景重建模型。该模型主要包括三个部分:告警融合、告警分类因果关联和告警概率关联。告警融合作为告警关联前的预处理模块,可以消除IDS原始告警中的冗余条目;告警分类因果关联是将告警根据攻击目标作分类分析,然后在每个类中作告警因果关联,这样先分类再关联可以有效改善纯因果关联性能,而且根据每个类中的关联结果还可以去除无效告警;告警概率关联处于分类因果关联之后,在类与类之间做概率关联,用概率关联弥补因果关联的缺陷。通过实验验证和分析发现,本文提出的混合的攻击场景重建模型具有一定的优越性和实用性,它可以降低因果关联对知识库的依赖,解决因知识库不完善和IDS漏报导致的关联结果不完整问题,同时具有较低的算法复杂度;它可以基于攻击目标有层次、有结构地将反映攻击过程和意图的场景呈现出来,帮助管理员发现攻击者的策略和目的以便做出更及时有效的应急响应。