计算机网络的广泛应用使得网络安全成为事关国家安全和政治经济社会有序运行的重大问题。网络用户和带宽的增加、新的网络应用不断推出以及网络攻击技术的发展,都对网络安全技术提出了新的挑战。原来的网络访问控制、防火墙等静态防御技术已经不能满足安全需求。网络安全的重要发展趋势是综合运用多种动态防御技术,包括漏洞扫描、入侵检测以及报警融合、报警关联、实时风险评估和响应等后入侵检测技术。目前,入侵检测系统的误报警率、漏报警率和重复报警率偏高,报警包含的信息质量较低,与其它设备联动进行入侵响应的能力弱。利用后入侵检测技术能够在一定程度上克服入侵检测系统存在的困难。对入侵检测系统等安全设备产生的原始报警进行融合,一方面可以增强各安全设备之间的交流和协作,从而减少漏报,另一方面可以有效地过滤掉重复报警。报警关联能够揭示安全事件之间的关系,重建攻击过程,有助于判断整个攻击模式和入侵趋势,为实时风险评估和响应决策提供支持。此外,由于误报警往往不会被关联到真正的攻击过程中,因此通过报警关联还可以降低误报带来的影响。因此,报警融合与关联在整个动态防御过程中起到了承上启下的关键作用。报警之间的关系可以抽象为两种关系：冗余关系和因果关系。报警融合主要处理冗余关系,冗余关系相对来说比较明显,易判断。报警关联主要处理因果关系,因果关系更隐蔽,不易判断。报警关联是后入侵检测技术中的核心和难点。报警关联涉及知识表示以及自动推理等问题,本体论为解决这些问题提供了一种技术支撑。本文对以报警关联为核心的后入侵检测进行了研究,取得了以下研究成果：(1)提出了一种扩展的语义Web规则语言XSWRL,实现了XSWRL推理机原型。报警关联知识的特点正适合用本体来表达。然而现有的标准语义Web本体语言OWL、SWRL不能表达一些必要的报警关联知识。为此,在SWRL的基础上提出了一种扩展的语义Web规则语言XSWRL,通过在规则中引入存在量化变量增强了语言的表达能力。XSWRL的语法和语义直接在SWRL的基础上进行了扩展。采用异构法实现了XSWRL推理机原型。(2)提出了一种层次化混合型报警关联知识模型并基于XSWRL做了实现。该模型结合了基于攻击的前提后果关联和基于攻击序列模板关联这两种关联方法,用安全状态表示攻击的前提后果,并结合基于层次化攻击意图的关联方法,从不同的层次审视安全信息。该模型结合了这几种关联方法的优点,能够更加全面地表示和利用报警关联知识。给出了用XSWRL表示该知识模型的方法,建立了知识库原型,实现了报警关联。报警关联重建了攻击过程,使得风险评估和响应的依据由孤立报警变为攻击过程。(3)研究了与报警关联有关的网络安全信息的获取和预处理方法。为了便于将各式各样的安全状态原始信息转化为报警关联需要的本体形式,设计了一种关系数据库模式作为中间模式,并给出了转化方法。对入侵检测系统的原始报警进行预处理,统一报警消息格式,消除冗余报警,进行报警融合,将融合后的攻击信息生成报警关联需要的本体形式。(4)提出了一种基于风险传播的层次化实时风险评估方法,并依据风险评估结果进行自动响应。该风险评估方法综合了攻击的严重性、确信度、成功的可能性,以及资产的重要性等多种因素,实时计算攻击过程对服务、主机和网络这三个层次资产所造成的风险状态。风险状态是进行响应的重要依据。修改了原有的响应规划、响应时机决策和响应措施决策方法。修改后所有资产都能采用各自不同的响应目的,因此响应决策更加合理。基于以上研究成果,开发了入侵检测报警管理与入侵响应系统的第二代版本IDAM&IRS 2,能够实现子网范围内的动态、纵深防御。