信息技术在给人们的生产、生活带来巨大改变的同时,也带来了许多的安全问题,网络安全形势日益严峻。入侵检测系统(Intrusion Detection System,IDS)作为保护网络安全的重要工具已被广泛投入使用;然而,IDS产生的告警冗余度高、误报率高且不能反映出攻击者的多步攻击策略。因此,应用告警关联技术分析IDS告警信息以重构多步攻击场景显得非常重要。数据挖掘作为一种数据智能分析技术,能自动地从大量数据中提取出有用信息。本文以基于数据挖掘的告警关联技术为研究内容,对IDS告警预处理方法、IDS告警关联方法进行了研究,主要内容可归纳如下:(1)研究了数据挖掘技术在告警预处理方面的应用,提出了一种面向IDS告警的预处理方法。IDS产生大量冗余度高、误报率高的告警,若不去除这些大量存在的误报及冗余告警,将会对后续多步场景挖掘的有效性提出巨大挑战。为此,提出了一种面向IDS告警的预处理方法。通过分析告警样本,提出了四个用于区分误报与真实告警的群体特征,结合决策树等分类算法训练误报判定模型对IDS告警进行误报判定,降低了误报带来的影响;将滑动时间窗口用于冗余去除,降低IDS告警的冗余度。实验结果表明,本文所提出的IDS告警预处理框架能大大降低误报和冗余告警,为后续的关联分析提供数据质量保证。(2)研究了面向IDS告警的多步攻击场景重构技术,提出了一种基于多因素的告警关联方法。告警关联分析通过对底层告警进行综合分析与处理,揭示出其中包含的多步攻击行为。许多的告警关联方法通过在原始告警中挖掘频繁模式来构建攻击场景,方法容易受冗余告警、误报影响,挖掘出的多步攻击链在某些情况下不能反映出真实的多步攻击行为。为此,提出了一种基于多因素的告警关联方法。通过聚合原始告警以得到超级告警,降低了冗余告警带来的影响;将超级告警构造成超级告警时间关系图,同时结合超级告警间的多因素关联度评价函数从图中挖掘出多步攻击场景。实验结果表明,该方法能克服冗余告警及大量误报带来的负面影响、有效地挖掘出多步攻击链。