目前,一个很明显困扰网络安全管理员的问题就是入侵检测系统在产生有用告警信息的同时也产生海量的冗余数据,而我们所做的网络安全关联分析系统(SATA)就是为了解决这个问题。攻击场景建立是网络安全关联分析系统的一个功能模块.它通过采用数据挖掘方法挖掘多步攻击行为特征并重构攻击场景,来识别攻击者的一些高水平攻击策略并预测下一步攻击。主要思想是通过对入侵行为和入侵检测系统的深入研究来提供新颖的对多IDS(入侵检测系统)系统产生的告警进行攻击场景重建的方法,这些方法可尽可能减少对攻击行为和场景的精确描述和对规则精确定义的依赖性。首先采用滑动窗口概念,对数据库中的无序攻击行为进行数学建模,将海量攻击行为数据转换为频繁攻击序列。然后利用基于经典APRIORI方法的SFBA算法和基于序列模式挖掘方法的SAMP算法,从多IDS告警系统中挖掘出序列攻击频繁模式。所提出的CAST(攻击场景生成树)算法则可以通过建立攻击场景树来把序列攻击频繁序转化成生成场景树模型,使以后对于新攻击的匹配过程更加快速和高效。通过对攻击场景的建立和攻击场景树的生成,利用关联度和前缀关联度对新攻击和历史攻击进行关联处理,可以很好的阻断攻击者的攻击步伐并达到保护整个系统或网络安全的目的。