随着互联网技术的不断发展，网络和信息技术已经成为驱动社会经济发展的重要力量，成为人们生活密不可分的组成部分。与此同时，网络与信息安全问题层出不穷，各种网络攻击造成了巨大的经济和社会损失。为了应对目前严峻的网络安全形势，人们在网络上部署了各种网络安全监控和防御系统，例如入侵检测、防火墙、恶意代码防护系统、安全漏洞扫描系统、网络管理监控系统等等。这些系统起到了一定的安全防御作用，产生的安全事件信息为网络安全管理提供了基本的决策和行动依据。但这些系统产生的安全事件信息数据量巨大、误报率高、数据缺乏整合，特别是在大规模网络环境中，这一问题更加突出。为解决这些问题，国内外研究者开展了很多研究工作，提出了基于安全事件聚类、融合以及相关分析等关联分析方法，但是目前这些方法应用于大规模网络环境时仍存在一些问题，其中有些算法复杂度高，难以应用于大规模网络环境，有些概念不清晰导致计算误差大，有些可配置性不强，不能适应不同的需求和环境。　　本文在对目前网络安全事件关联技术的比较研究基础上，根据大规模网络环境中安全事件响应和处理的需求，重点在安全事件聚合，多源安全数据融合以及复合攻击预测等关键技术方面进行了改进和创新。经过在实验环境中验证，这些方法达到了比较理想的效果。具体来说，本文完成的工作包括:　　在安全事件聚合分析方面，根据安全事件聚合的特点，提出了ⅡSODATA聚类算法，该算法采用平均相似度半径取代传统算法中采用聚类中心进行距离计算的聚类方法，减小了由聚类中心引入的计算误差。采用优序对比法对报警信息不同属性赋予不同权重，使数据聚合的结果更加准确。通过和谱聚类算法进行比较，ⅡSODATA算法在压缩率、簇纯度、簇纯度分布等几项关键指标上都优于谱聚类算法。　　在多源异构信息安全事件融合方面，本文对同类方法和技术进行了研究和分析，提出了基于EA-DS证据理论的多源安全事件融合方法。一方面对不同的安全探针产生数据的特点进行分析，用量化方法计算各数据源的证据置信度。另一方面将环境信息和知识也考虑到证据融合过程当中，结合各安全探针所在网络中的位置和网络配置情况来考虑证据权重，这种融合方法更有针对性，误差也更低。从实验结果来看，对高危安全事件的总体检测率能够达到65.7％，误报率为8.66％。　　在复合攻击预测方面，本文提出了一种基于攻击图的预测方法，该方法首先根据EA-DS证据理论的数据融合方法确定进行攻击预测的对象，使得复合攻击预测更有针对性，然后根据复合攻击中每个步骤发生概率和成功概率计算攻击图中各节点的累积概率，最后计算出最大攻击概率路径，实现对攻击的预测。该预测方法较好的利用了安全监控系统产生的客观数据，算法简洁，复杂度低。实验数据表明，该方法在预测阈值为0.5时预测覆盖率为49.2％，准确率达到了63.6％。该方法能够根据检测到的安全事件数据实时进行复合攻击预测，符合大规模网络安全环境中对复合攻击预测的要求。