近年来,网络技术飞速发展,网络攻击复杂化问题日益凸显。但是复杂的网络攻击往往隐藏在大量的普通网络攻击之间,使得现有实时入侵检测系统(IDS)难以发现复杂的多步攻击。因此,对入侵检测系统发现的安全事件进行系统而深入的研究,寻找安全事件间存在的内在联系,进而发现复杂网络攻击的整个过程以及特点具有很大的必要性。然而,由于网络攻击错综复杂、警报数据数量巨大且冗余数据繁多、威胁较大的攻击隐藏在大量数据之间、分析结果不够简洁等原因,现有针对多步攻击的识别技术仍处于发展阶段,各种相关技术的应用都不太成熟。本文针对上述问题,提出一套面向复杂网络攻击的安全事件检测与追踪方法,其主要包括基于IP关联的安全事件聚合冗余方法以及基于因果关系的安全事件检测与追踪方法。首先,传统告警日志分析方法缺乏一种有效的数据预处理技术。本文针对数据挖掘技术分析警报数据存在的数据量巨大、冗余数据多的问题,提出一种基于IP关联的安全事件聚合冗余方法。该方法根据IP关联性对原始警报数据流进行聚合来剔除无关的干扰数据,从而还原多个攻击场景;然后分别对每一个攻击场景进行关联规则的挖掘,以减少冗余数据的干扰,进而得到更多的关联规则,为因果关系的挖掘奠定基础。其次,针对目前通过安全事件检测方法检测复杂网络攻击的难度与精确度问题,提出一种基于因果关系的安全事件检测与追踪方法。该方法通过剖析攻击状态间的因果关系达到检测与追踪攻击的目的。其首先针对攻击状态因果关系挖掘中存在的自循环概率过高、对所有路径状态统一处理以及部分路径不可靠等问题,提出了一种基于AR-IPC与马尔科夫链的因果关系挖掘方法。通过在因果关系挖掘过程中引入关联规则,达到对一阶马尔科夫链模型的优化的目的,使得整个攻击状态转换路径更为可信。然后在获得状态之间的因果关系之后,通过告警状态的先验知识进行攻击类型的检测与追踪。最后,通过实验验证了基于IP关联的安全事件聚合冗余方法以及基于因果关系的安全事件检测与追踪方法的有效性。