本文在简单的介绍了入侵检测技术的概念和困难后，引入了安全事件管理的概念。首先阐述了安全事件管理目前的一些研究现状和它所涉及的一些技术，并介绍了关联算法。然后使用攻击关系图来描述攻击场景(攻击过程)。使用探针事件来统一各种独立的异构的设备上的报警事件，即不同的网络设备的报警虽然不同，但是触发报警的某种事件应该是一致的，我们称这种事件为探针事件。通过整合两种互补型的报警关联方法：基于报警属性之间的相似性(聚类关联)，和基于攻击的因果关系(因果关联)。尤其是根据入侵报警间的因果关系和它们需要满足的等同约束关系来假设和推理可能被IDS漏报的攻击，并使用一定的方法来整理和验证假设的攻击，重建更简单更可用直观的攻击场景，给网管和分析员进行入侵响应提供帮助。最后给出实验来验证所研究的结果。　　 本文的关键是根据探针事件来统一各种安全和报警事件，并在底层安全设备漏掉某些未知攻击或者已知攻击的变化的情况下通过假设攻击并验证这些假设的攻击来重建简单可信的攻击场景。