当下,网络中发生的攻击行为已经逐渐从单步、简单的攻击手段发展成复杂的多步攻击手段。因此,研究者们针对这种多步攻击的行为进行了一系列的研究。常见的方法通常用IDS获取网络告警数据作为数据源再通过数据间的关联性质匹配出一个多步攻击行为,但是基于IDS的告警数据的误报以及漏报将导致得出的多步攻击的不完整或者错误,基于简单相似性的关联难以得到准确的攻击簇,而基于攻击图等先验知识的关联则难以保证拥有一个完整的攻击图库。针对这两个问题,本文研究了如何使用敏感信息流量作为数据辅助IDS告警数据,并且通过基于尽可能少量的先验知识来自启发式的生成攻击模型。提出了一种基于杀伤链模型的启发式多步攻击模型生成以及攻击预测,可以从双数据源中得到攻击簇并通过图匹配的方式启发式的得到这一多步攻击的模型图并根据匹配值得到下一步攻击的预测值。本文分析了杀伤链各个阶段的目的性,并依赖目的性对多步攻击行为进行了阶段性划分,用于对源数据的过滤与筛选。并且根据多步攻击的目的性,使用杀伤链模型定义了初始多步攻击模型,作为图匹配的初始图。本文的具体工作内容如下:1.针对告警日志的误报和漏报性质,本文提出了敏感信息概念与敏感信息流量和告警日志的融合算法。该方法使用敏感信息流量和告警日志多源数据进行关联分析和攻击簇的筛选,缓解了由于告警日志的缺陷导致的攻击过程不完整问题,根据实验表明,该方法在检测正确率和检测完整性上有一定的提高。2.针对攻击图模型需要完备的先验知识这一问题,提出了一种基于杀伤链模型的启发式多步攻击模型生成与攻击预测方法。本文分析了多步攻击的各个阶段的目的性以及源数据的各个属性特点,阐述了如何通过杀伤链模型给源数据集进行阶段性的划分,如何根据杀伤链模型进行攻击簇的过滤与筛选。详细介绍了如何使用生成的攻击簇模型与初始化定义的多步攻击模型进行图匹配以及如何计算图匹配的权值与质量匹配数值。解决了图匹配方法需要完备的攻击图库这一问题,实验说明了本文的方法在针对已知和未知攻击都能得到一个较好的多步攻击模型以及预测结果。3.对敏感信息流量和告警日志的融合算法的设计和原因进行了说明,对基于杀伤链模型的启发式多步攻击模型生成与攻击预测方法做了详细的设计,并给出了算法的样例和伪代码实现,对整个流程的各个模块的实现进行了说明。4.收集数据进行实验,分析实验结果,根据实验检测正确率和检测完整性的结果表明本文提出的敏感信息流量和告警日志的融合算法能够获得更加完整、更加符合杀伤链攻击过程的攻击簇。根据实验结果得到的多步攻击模型与实际多步攻击比较表明,无论在检测未知攻击还是已知攻击上都能够获得一个匹配度较高的多步攻击模型,根据预测误差的分析对比,结果表明本文所提出的方法确实能够较好的拟合多步攻击行为,效果相对LCS算法有一定的优势,能够接近或者匹配JEAN系统的预测误差,但是由于JEAN系统是基于已知攻击的攻击图匹配,本文能够针对未知攻击进行多步攻击模型图匹配,因此在实际应用中具有一定的优势。以上述为基础,对本文所提出的方法的实验结果以及尚未解决或者存在的问题进行了分析和总结,分析了进一步的优化方向。