伴随着计算机网络的广泛应用以及信息技术的逐步提高,保障网络信息系统的安全变得尤为重要。虽然人们曾尝试着使用入侵检测系统和防火墙等技术来发现和抵御攻击者的入侵行为,然而,目前的大部分安全设备不仅会产生海量的重复报警,同时也难以提供不同报警之间的相关性,而现有的报警聚合关联分析技术又存在着准确率以及效率方面偏低等缺陷,针对上述问题,本文在国内外有关报警聚合及关联分析研究的基础上,进行了以下的创新工作：首先,本文选取网络报警聚合算法作为研究对象,提出了一种基于迭代自组织的报警聚合方法(Iterative Self-Organizing Data Analysis Techniques Algorithm, ISODATA)o ISODATA算法与K-均值算法有相似之处,即聚类中心的位置同样是通过样本均值的迭代运算决定。不同的是,这种算法在运算的过程中聚类中心的数目不是固定不变的,而是反复进行修改。其实质是用某种算法生成初始类别作为“种子”,依据某个判别规则进行自动迭代聚类的过程。在两次迭代过程之间对上一次迭代的聚类结果进行统计分析,根据统计参数对已有类别进行取消、分裂、合并处理,并继续进行下一次迭代,直至超过最大迭代次数或者达到分类参数设定的阈值,进而完成全部的分类过程。最后通过实验验证了该聚合算法的可行性以及准确性。此外,本文还在原有的因果关联方法的基础上,对其进行了部分改进,提出了一种基于逆序的报警关联方法。该方法首先根据各单步攻击的攻击意图进行分类,然后从攻击意图的最后一项里(譬如在权限提升类攻击的范畴里)提出一条报警信息,以此报警信息为基础,根据因果关联的方法,在攻击特征库中找寻与此单步攻击的前提条件相符的报警信息,并将符合所规定的时间窗口内的两条报警信息关联到一起,从而完成一步报警关联步骤,以此类推,可以还原出整个的攻击场景,识别出入侵者的攻击意图。最后采用DARPA2000数据集,验证了基于逆序的报警关联方法的可行性以及高效性。