随着计算机网络和互联网技术的飞速发展,网络安全问题也越来越多。为了解决现如今存在的网络安全问题,入侵检测工具作为网络安全检测工具应运而生。入侵检测工具根据现有网络攻击的特点制定规则,对网络中存在的网络攻击进行规则匹配分析并得到网络安全事件。不在指定规则中的网络攻击很难被检测,尤其当这种攻击是多步攻击时,就更难对网络进行安全防护。有效地利用当前已有入侵检测工具所检测到的网络安全事件,进行综合分析和处理,找出其中潜在的关联关系,还原出完整的网络攻击场景以及对网络攻击进行预测,从而对网络安全进行有效的监控和防护,具有重要的意义。针对网络多步攻击场景还原问题,当前的入侵检测工具只能够得到单一的网络安全事件,无法根据这些事件检测出完整的攻击过程,即整个网络攻击场景。本文针对传统分析网络安全事件存在的数据量大和冗余数据多的问题,结合FPGrowth算法提出了一种基于高频IP关联网络安全事件的网络攻击场景还原方法(IP-FPGrowth)。该方法首先对大量网络安全日志事件进行预处理,剔除冗余数据,然后采用FPGrowth算法找出高频IP,并利用高频IP关联网络安全事件,还原网络攻击场景的整个过程。通过实验与FPGrowth算法进行对比分析,在DARPA1999和DARPA2000数据集上验证了本文所提算法IP-FPGrowth的准确性、高效性以及对特定网络攻击场景的识别能力。针对网络多步攻击预测问题,当前入侵检测工具只能检测到已经发生的网络攻击,却无法预测下一步的网络攻击。本文为了解决网络攻击预测问题,提出了一种基于隐马尔科夫模型(HMM)和遗传算法(GA)的GA-HMM模型。该模型通过结合遗传算法解决了传统HMM容易陷入局部最优解的问题。通过实验与HMM模型进行对比分析,在DARPA2000数据集上验证了本文所提模型GA-HMM网络攻击预测的准确性和稳定性。