随着网络技术的发展,入侵规模越来越大,入侵的手段与技术也不断发展变化,入侵的发起者和入侵的对象越来越趋于分布化。我们很难直接通过传统的网络安全解决方案获知入侵者的攻击意图。就如何有效识别入侵者的攻击意图,本文将围绕CERNET(China Education and Research Network,中国教育科研网)的实际情况,针对该问题做深入分析,通过研究与设计取证采集、通信活动识别、追踪结果融合等方案,为安全分析人员推断攻击意图提供强有力的证据信息。在取证采集方面,本文实现了面向多追踪任务的取证采集方案。该方案首先完成了追踪任务的生命周期管理;然后,设计了基于生产者-消费者的报文采集分离方案,将报文采集和报文分离解耦。报文采集模块使用PF_RING ZC高速报文捕获工具捕获网卡上的报文,并将流量周期性地采集并存储在本地磁盘文件中;报文分离模块根据追踪任务的采集规则对磁盘中的周期报文文件进行离线分离。在通信活动识别方面,本文设计并实现了基于应用层协议分析的通信活动识别方案。该方案基于离线报文检测,首先使用入侵检测软件Suricata和协议分析系统Bro完成对通信报文的检测,然后对分别对警报日志和协议活动日志进行处理,警报日志的处理内容包括警报过滤、格式统一、警报信息入库等,协议活动日志的处理内容包括信息富化、协议活动信息入库等。在追踪结果融合方面,本文设计并实现了基于数据融合的追踪结果生成方案。该方案首先通过设计应用程序调用接口获取位于不同节点上的相关数据;接着对这些数据进行预处理,从中提取出对后续融合有价值的信息;然后从时间和空间两个维度、追踪IP和对端IP两个视角分别对经过预处理后的多源异构数据进行融合,生成从多个角度描述入侵者攻击过程的追踪结果;最后使用Echarts工具和BootStrap框架将融合结果展示在用户界面中。在方案验证方面,本文对每个解决方案都分别进行了实验与分析,实验结果表明,本文设计与实现的攻击意图推断功能有效地保证了安全事件响应的及时性和准确性。