自从互联网诞生以来,网络安全问题一直是不容小觑的问题,特别是入侵检测领域,也一直是研究者们研究的热点。现如今攻击者的攻击手段日益的隐蔽,复杂,网络安全设备所产生的告警数据又分散独立,庞大冗杂,导致安全问题日益严重,考虑到设备更新换代的代价,如何使用智能的算法,使得管理员能从错综复杂的安全数据中发现攻击者的蛛丝马迹,从而对网络攻击进行防御和响应成为了网络安全领域中研究的重点。通过阅读大量国内外文献以及对不同攻击行为所产生的入侵检测告警数据的分析与研究,本文首先提出了一种基于SVM(支持向量机)的告警聚合模型,通过选取不同的核函数对KDDCUP99数据集进行实验对比,发现采用多项式核函数对告警数据聚合的准确率最高,之后,由于SVM的聚合性能与参数的设置有很大关系,而人工设置的随机参数并不能保证结果的准确率是最优的,因此本文采用遗传算法对所建立的支持向量机模型进行参数自动优化,避免了人工设置参数的随机性与盲目性。通过KDDCUP99数据集的仿真得出,本文所采用的方法所建立的聚合模型的准确率要高于随机参数所建立的聚合模型。其次提出了一种基于攻击行为序列的多步攻击场景构建的方法,将无候选序列的最大序列模式挖掘思想应用到攻击场景的构建中,改变了以往利用序列模式挖掘思想产生较多攻击序列模式,耗费大量内存以及时间,不利于实时在线攻击意图识别,并且挖掘结果难以理解的现状,并根据算法的特点提出了三种可以改进算法性能的策略。基于DARPA 2000数据集的实验分析表明,该方法可以有效的挖掘出攻击者的多步攻击行为模式,并且在时间、内存消耗以及挖掘结果上比BIDE算法更优。