随着计算机技术的发展,网络结构日趋复杂,入侵手段日趋多样化,入侵检测系统在过去几年的研究主要集中在体系架构和检测方法上,在不断取得突破的同时,也暴露出一些诸如事件风暴、误报率和漏报率高、上下文不明确等问题,严重影响了入侵检测系统的性能。为了解决上述问题,人们将关联分析技术引入入侵检测系统,开发了关联分析型入侵检测系统。因果关联法是警报关联分析中的重要方法,能够发现攻击间的逻辑步骤,揭示隐藏在警报背后的攻击策略。本文重点研究基于因果关系的关联分析型入侵检测系统,主要工作如下:首先,提出一种警报漏报关联算法。针对现有关联分析型入侵检测系统中存在的警报漏关联问题进行研究,深入分析攻击类型及攻击发生的前提条件和结果,在此基础上定义了漏报关联规则,能够有效的检测到入侵检测系统的漏报。其次,提出一种攻击预测算法。通过对警报信息的合成、关联、分类处理后,依据攻击行为间的因果关系及时序关系进行预测,揭示攻击者的入侵意图和入侵趋势,提前阻止攻击的发生。再次,构建了具有攻击预测功能的关联分析型入侵检测系统。针对现有关联分析型入侵检测系统过分依赖警报信息,一条攻击被漏报将导致随后的整个攻击序列被漏报的严重后果,本文对原系统进行改进,添加了漏报分析模块和攻击预测模块,解决了原系统中存在的问题,并使改进的系统具有预测功能。最后,作为这些研究成果的应用,本文在Linux平台用C程序实现了改进的系统模型,并模拟网络入侵事件对系统攻击,进行了大量的测试实验,总结系统的各方面性能,分析存在的问题,为进一步研究提供了方向。