自20世纪90年代起,入侵检测系统(IDS,Intrusion Detection System)逐渐发展起来,其存在的目的是对防火墙的补充以及对计算机系统中安全违规迹象的实时监控。在发现安全威胁时触发告警或者采取相应的行动主动保护网络安全。攻击者发起攻击时,会在IDS告警中留下痕迹,这样,攻击者在攻击行为上的相似性就可以通过IDS产生的告警显示出来。因此,将告警信息关联起来,从中发现复杂的多步攻击模式,可以达到构建攻击场景掌握入侵全貌的目的,进而可以为实时检测网络中正发生的多步攻击提供依据。为了从低层次、分散的告警日志中发现攻击模式、构建攻击场景,通过分析现有攻击场景重构方法,发现现有方法中存在告警划分及误告自动鉴别困难、参数配置过多、因果知识复杂难懂难以自动获取的问题。鉴于此,提出一种基于因果知识发现的攻击场景重构方法。方法主要内容如下:首先,方法按照知识发现的过程,明确业务对象是IDS中的告警日志,目的是发现多步攻击模式重建攻击场景;然后,规范数据格式,通过告警日志间IP属性的相关程度构建攻击场景的序列集合,尽可能保证属于同一攻击场景的告警日志聚类到同一攻击场景序列中;之后,借鉴周期性告警是误告警的思想,采用时间序列建模的方式,生成误告警去除规则,将每个攻击场景序列中具有周期性的误告警数据去除,精简攻击场景序列进一步保证下一阶段得到的统计关联关系的准确性;最后,利用概率统计方法发现各个告警类型间的统计关联关系,并给出相应算法以及知识的图形化表示。由于方法不需要依赖大量的先验经验,也不需要配置大量的参数,并且在进行告警间因果关系挖掘之前对告警进行了IP相关分析及误告的去除,大大提高了所发现的因果知识的准确性。通过在经典的入侵场景关联数据集DARPA 2000上进行实验,验证该方法的有效性和可用性。