随着21世界信息化的发展,人们在享受网络带来的便利的同时也面临着更多的网络安全问题。而入侵检测系统产生的大量低级报警日志不能展示攻击全貌,会使安全管理人员淹没在信息的海洋中。因此,从报警日志中进行报警关联并发现多步攻击场景有助于安全管理人员提高效率,聚焦问题所在。目前的针对报警关联以及多步攻击场景挖掘的方法主要有:基于属性相似度的关联、基于预定义攻击场景的关联、基于因果关系的关联和基于数据挖掘的关联。但是这些方法需要专家知识库和先验知识,对于未知的攻击模式并不能很好地提取。另外,现有的针对报警的优先级评估也只是在低级报警的程度,针对攻击图的优先级评定的研究较少。针对以上问题,本文所展开的具体工作如下:1.针对攻击场景挖掘需要专家知识的问题,提出了一种基于攻击图特征的多步攻击场景挖掘算法,该方法不需大量的专家知识为前提,并且可以发现新的攻击模式。本文通过分析并研究报警日志的特征与内在关系,在进行基于属性相似度的聚类并形成初步候选攻击图集合后,研究了攻击图特征对于攻击场景挖掘的意义,根据攻击图的时间跨度间隔、报警间隔率、出入率以及异常优先级差值这四个特征,将具有相似特征的攻击图聚类,并进一步挖掘出攻击场景。2.对于关联后的结果分析与评估,提出了一种基于局部离群因子(LOF)的攻击图优先级评判方法,将攻击图进行优先级的评判,对于发现真正的具有威胁的异常攻击场景具有实际意义。3.基于提出的算法,设计系统的各个模块并搭建环境加以实现。4.通过实验分别对多步攻击挖掘算法和攻击图优先级评判算法进行实验结果评估,并加以对比,验证算法的有效性。