随着网络安全的发展,单纯的被动的静态安全防御策略已经无法满足现实需要.人们开始采用动态安全防御的思想来进行安全防护,入侵检测系统是动态安全防御里的重要环节.但是,现有的入侵检测系统(IDS)存在一个致使的缺陷:误报率高居不下,事件之间缺乏关联,遭受的IDS无法展现事件之间的逻辑关系,结果用户很难了解事件背后隐藏的攻击策略或逻辑步骤.因此,在实际应用中,不仅大量的误报混杂在正确的警报中,同时警报本身由于数目太大,没有明确的逻辑关系,很难管理.这些缺陷严重影响了IDS的应用.为了解决IDS存在的上述问题,该文在深入分析入侵技术的基础上提出了一个基于入侵序列的启发式关联方法.如,如果前一次攻击阶段的结果是下一次攻击成功的前提条件之一,那么这两次攻击是关联的,是同一系列攻击中的两个步骤.入侵序列的启发式关联方法的核心是入侵步骤的确定,该文对如何系统定义入侵步骤进行了讨论,包括根据攻击阶段的结果进行的攻击类型分类、攻击集的确定、攻击阶段的分解等.论文根据该事件关联分析方法设计并实现了一个事件关联分析引擎 ,并利用实验验证了它的有效性.事件关联分析引擎有4个优点和特点:首先,可以有效减少误报的数目,有利于系统管理员更快地发现攻击;其次,可以展现事件之间的逻辑关系;三第,可以有效减少需要用户关注的警报数目,使用户可以更轻松地管理和分析警报;第四,可以揭示黑客入侵的一系列步骤,有利于发现他的入侵策略,方便系统管理员进行针对性的应急措施.事件关联分析引警可以作为现有的IDS产品的辅助分析工具,帮助用户快速理解攻击事件、提高入侵应急响应速度.