随着互联网技术的发展和计算机网络的普及,信息系统的安全漏洞和网络恶意行为不断涌现,信息安全事件层出不穷,网络安全形势日益严峻。为保护网络系统的安全,防火墙、入侵检测系统等传统的安全设备被部署到网络环境中,在从多方位保护网络系统的同时,也带来了新的问题：这些安全设备独立运行、自成体系,相互之间缺少协同合作、数据交互,信息资源无法集中、不能共享；安全管理员难以统一管理、配置众多异构的安全设备,无法对业务和系统进行集中管理,资源无法形成合力最优,缺乏从总体上把握网络安全态势的有效手段。此外,安全设备每天产生海量且夹杂了大量不可靠信息的安全报警,使得管理人员被洪流一样的数据所淹没,很难提取出有意义的事件,更无法从中得到真正对系统造成威胁的事件,进而无法评估当前系统的整体安全态势,大大降低了系统的安全性。针对上述问题,本文拟采用多源安全事件关联分析方法,基于攻击图技术构建实时、准确的攻击场景,利用图上深度挖掘技术对下一步攻击行为进行预警,协助管理员进行网络安全防护。该方法能基于粗糙集理论,挖掘报警属性之间的关系,实现属性权重计算方法,改进报警数据聚类粒度；设计并实现了基于多特征融合分析的报警分析方法研究,该方法从不同维度预处理原始报警,可有效去除原始报警数据集中冗余、错误的报警,形成标准化的安全事件数据集；设计了面向场景的通用树状攻击模型,实现基于攻击图的多源事件分析算法,利用上述层次化关联规则,关联多步骤报警,构建攻击场景,并识别攻击意图,预测下一步攻击行为。依托上述研究内容,我们进行了相关系统的研发,并利用大数据分布式分析技术,为分析海量报警数据提供技术保证。本文采用DARPR数据集和真实网络报警作为实验数据,实验结果显示基于属性权重的聚类算法平均效率达到84.6%,报警特征分析方法效率达到86.3%,实验的场景匹配效率验证了多源安全事件关联分析方法有效性。