随着网络技术的不断发展,网络攻击手段也不断变得智能和复杂。层出不穷的网络攻击,对网络安全造成了很大的威胁和破坏,如何保障计算机网络的安全问题一直备受人们关注。入侵检测系统是一种有效的网络安全防御技术,它能够发现网络中的入侵行为,并以报警的方式对入侵行为作出响应,进而实时有效地保护网络的安全。然而入侵检测系统在实际应用中存在不少缺点,如报警数量多,报警信息离散等,使网络管理员难以发现攻击来源和攻击目的,从而无法及时采取处理措施。为了解决以上问题,本文利用报警关联技术挖掘出报警之间的关联关系,发现攻击场景,构建报警关联图,并对攻击场景进行分析和为攻击场景选择处理措施。本文针对报警关联技术和措施选择进行了如下的研究:(1)提出了一种攻击图和报警相似度相结合的报警关联方法。首先,根据入侵检测消息交换格式的数据模型,将入侵检测系统产生的报警数据进行格式统一。接着,研究了报警属性相似度的计算方法,比如IP地址相似度的计算。然后,借鉴主成分分析法的思想,提出了一种属性权重自动分配的报警相似度计算方法。最后,通过攻击图与报警相似度将相关报警关联成一个有向图,从而达到重放攻击者利用网络漏洞之间的关系攻破目标网络的攻击场景。(2)针对发现的攻击场景,提出了基于投资回报的措施选择方法。首先,引入了节点固有概率和累积概率的概念,并将节点累积概率作为评估攻击节点风险的衡量指标。然后,结合通用漏洞评价系统给出了原子攻击节点固有概率的计算方法,并将节点分为串联和并联两种类型,分别对这两种类型节点的累积概率的计算进行了阐述。最后,引入投资回报的概念,将为高风险节点寻找成本小、负面影响小、效益高的网络漏洞修复措施问题转化为寻找高投资回报的问题,简化了问题的求解过程。本文利用编程语言实现上述研究工作并对其进行仿真实验,在DARPA 2000数据集上的实验结果表明,上述提出的报警关联方法不仅能减少重复报警,较为准确地关联相似报警,且能够关联前提报警缺失和在攻击图中找不到对应原子攻击节点的报警,甚至能完全修复不相连的原子攻击节点缺失个数少于3的攻击图。提出的措施选择算法能够为攻击场景选择成本、负面影响及效益综合最优的措施及措施实施位置。