对于入侵检测系统发出的大量报警而言,报警关联是一种非常重要的技术。当前,该领域的研究前沿主要集中在从初始报警中获取攻击策略。有理由相信,纯入侵检测已经不能满足安全的需要。入侵响应和入侵预警对于保护网络和使网络损失最小化已经非常重要。在掌握网络的真实安全状况和攻击者的攻击策略的情形下,网络管理员才能发出合适的攻击的响应动作或在攻击未完成时给出预警。而使用报警关联技术可以为管理员提供网络安全状况甚至攻击者的攻击策略,这是研究报警关联技术的重要目的。本文在当今报警关联方法的基础上,提出了一种能够使初始报警自动关联的方法。前人的工作中,报警关联大多基于聚类方法或基于专家知识、报警知识库。本文方法相对于这些关联方法的不同之处就是在不依赖于已有专家报警知识的前提下,能自动识别攻击场景,当然,必须经过初始的训练。本文方法有以下特点:(1)用MLP网络来计算报警之间的关联概率。从报警信息中提取六个特征来对不同的报警进行比较,将得到的相似度值作为MLP的输入,用S型函数使得MLP的输出为0到1之间的值,以此值作为两报警的关联概率。(2)利用关联矩阵来保存两报警之间的关联信息。用MLP输出的报警关联概率计算得到关联权重和关联强度,并表示为关联矩阵。(3)用实时报警图和攻击策略图来表示攻击者意图。实时报警图从报警关联概率值构建,反应的是攻击者实施攻击的实际步骤;而攻击策略图则是从报警关联强度值构建,反应的是一类攻击的步骤,它相当于是实时报警图的一般化表示。实时报警图则是攻击策略图的特例。(4)MLP网络结构参数由遗传算法来训练得到。这一点也即本方法所需的初始训练部分。由于本方法关联报警的准确性跟报警关联概率密切相关,而报警关联概率又依赖于MLP网络的输出准确性,因此本方法中用遗传算法来优化MLP网络结陶参数,试图得到较优的MLP网络结构参数。最后,用DARPA2000中的已被标记的两个场景LLDOS1.0和LLDDOS2.0.2对本文方法进行了验证。实验中用snort来得到相关报警,经本文方法得到了两个场景,对LLDOS1.0攻击策略图中缺少了第五步,对LLDDOS2.0.2攻击策略图中缺少了第一步和第五步。这相对于P.ning引用报警知识库得到的结果相差不大,但本文方法不需要人工编辑报警知识库。本文方法未完全分析出场景的所有步骤,分析原因有以下两方面:一方面,snort对该数据的冗余报警较多,另一方面MLP网络的参数问题。因此以后的工作还有:采用更优良的入侵检测软件来获得原始报警,对原始报警进行冗余处理,对MLP网络参数进一步优化等。