随着网络的普及，企业、政府等组织中基于网络的业务越来越多，网络安全问题的影响越来越大。为保证网络的安全，很多单位投入大量资金用于购买网络安全产品。因此，对网络安全领域的研究有重大意义。 当前，网络中虽然已部署有很多安全部件，但是安全状况仍在不断恶化。当网络安全事件发生时，虽然安全部件能够产生告警但往往因不够有效而无法为管理员提供足够支持。因此，一种以安全部件的告警为分析对象旨在从中挖掘出有效信息的系统——网络安全信息分析系统正受到越来越多的关注。 经过对安全部件告警的深入研究，发现存在如下问题：数量巨大、重复、误告警率高、语义级别低、信息隐含在告警中等。综合考虑这些问题并对网络安全信息分析领域的已有成果进行了深入研究之后，本文基于网络安全信息群体行为分析模型设计并实现了一个原型系统，该系统具有如下特点：从攻击者行为的角度分析各种告警；引入了群体识别；能够复用多种技术；综合考虑各个问题的解决；具体实现了告警收集、告警聚集、告警校验、群体识别、因果关联等功能。 最后，利用标准数据集 Darpa2000 测试了原型系统。测试结果表明本系统的分析能力优于业内受到广泛认可的 TIAA 项目的系统，有效地提高了告警有效率和攻击检测率。 本文的工作得到了国家自然科学基金的资助。