漏洞扫描和入侵检测是当今网络安全的主流技术。网络漏洞扫描可发现网络的安全脆弱点,并给出相应的修补的措施,能够在被黑客攻击前做到先堵住漏洞,使网络安全工作做到防患于未然。而入侵检测系统对网络传输进行即时监视,在发现可疑数据时发出报警,及时地发现入侵行为。然而,漏洞扫描器和入侵检测系统都存在缺陷,首先是误报和漏报的问题。对于漏洞扫描,一是扫描器是定时执行,不是实时监控,而产生漏报。二是当扫描大规模网络时,漏洞信息也很庞大,扫描到的一些隐患在真实黑客攻击中很难利用,没有实际意义,而产生误报。而对于入侵检测,海量报警和重复报警是产生误报和漏报的原因。入侵检测系统每天产生成千上万条报警使得安全管理员疲于奔命,同时由于其中大部分是无关紧要的、或重复的报警。同时,漏洞扫描和入侵检测的另一个共同的缺陷就是没有对漏洞信息和入侵报警进行相关分析。针对上述问题,本文提出了一种基于入侵检测和漏洞扫描联动机制的攻击场景构建模型。该模型一个重要特点是,针对漏洞扫描和入侵检测的漏报和误报问题,提出了将两者进行联动的机制。该模型的另一个重要特点是,从两个方面构建攻击场景,一是通过漏洞分析生成攻击图,一是通过报警关联构建攻击场景。我们可以用构建的攻击场景来表达多步骤攻击的状况。在漏洞分析方面,我们通过Prolog语言描述的规则来自动生成攻击图。在入侵报警分析方面,入侵报警经过信息标准化,报警聚类,最后利用着色Petri网构建攻击场景。其中,报警聚类的方法也可以有效地降低入侵检测重复报警的问题。最后我们用实验来说明利用着色Petri网构建攻击场景的过程。