随着计算机软硬件技术的高速发展,计算机信息技术已经渗透到了人们工作生活的方方面面。计算机技术给人们带来了高效和便捷,同时也给人类带来了很多的风险。近年来,各种各样的网络安全事件层出不穷。研究如何从日志数据中,重现攻击者的攻击过程对于网络安全事件分析有着重要的意义。当前阶段下的网络安全设备基于特征码匹配的形式来进行攻击检测。这种方式的优点是安全人员可以按照需求自行增加或者删除检测规则,使用起来较为灵活,但是也存在着误报率高的问题。通过调研发现,现有的入侵场景重构技术和方法基本都是直接对安全设备的告警进行处理。由于安全设备存在误告警,直接对安全设备的告警进行分析会需要处理更多的告警,并且误报警的存在也会影响重构出的攻击场景的准确性。针对上述问题,本文结合机器学习技术,研究了一种基于告警置信度的入侵场景重构技术。通过计算原始告警的置信度,来删除误告警,从而减少后续处理过程要处理的数据量。首先利用机器学习技术获取到原始告警的告警置信度,然后利用机器学习模型的准确度和获取到的告警的置信度对原始告警进行分级处理,将原始告警按照告警置信度分为确认攻击、高度疑似、可直接剔除三类。接下来利用告警相似度函数通过告警的攻击类型、告警的源IP、告警时间属性来计算原始告警之间的相似度,利用相似度对告警进行告警聚合处理形成具有更高抽象层次的超告警。在最后的告警关联部分,本文提出了一种基于告警威胁值和资产权重的方法来进行超告警关联。相对于传统的基于因果关系的告警关联方法,该方法具有无需设置单次攻击的前因和后果的优点。在实验部分,本文利用CNN算法训练了三个机器学习模型来检测三种不同的攻击,包括XSS攻击、SQL注入攻击、PHP Web Shell攻击,其中XSS检测模型的准确率为98%、SQL注入检测模型的准确率为97%、PHP Web Shell检测模型的准确率为91%。为了模拟企业的内网环境,利用四个虚拟机搭建了一个具有三层网络环境的小型实验靶场,通过模拟攻击的形式获取到了原始的攻击日志,最后通过原型系统进行入侵场景重构。实验结果表明本文提出的入侵场景重构方法可以重构出攻击者的入侵场景。相较于未进行告警分级的情况,通过对告警进行分级处理,删减了12%的原始告警。