随着黑客攻击手段和技术的日益复杂化、更具隐蔽性和分布式发展,入侵检测在大规模分布式系统中的应用越来越受到关注,分布式系统的异构性和自治性以及传统入侵检测系统自身的缺陷使得重复性的、不完善的或不完整的告警数据大量泛滥,系统管理员难于控制和管理告警数据,导致漠视告警,产生极高的误报率和漏报率,入侵意图的识别也变得更加困难,从而不能及时对入侵作出相应反应,给系统带来巨大的损失.告警关联技术是解决上述问题的一种有效方法.目前的告警关联技术虽然取得了一定的进展,但它们还存在许多急需改进的地方,例如,不能同时处理各种特征混合的告警关联;关联结果不能识别真正攻击意图;没有考虑丢失告警数据的恢复以及缺乏后关联机制等.故离问题的解决仍有很大的距离.分级告警关联理论和技术的提出可以有效地解决上述问题.分级告警关联由三个关联处理层构成,即原始事件归约层、原子事件关联层和攻击意图识别层.告警数据分布式的特点使得同一攻击事件可能给出了若干个告警,导致重复性告警数据的泛滥,原始事件归约层采用实时归约算法,通过实时搜索并匹配给定时间间隔内的告警数据的各特征(AttackName,Source,Target,Service)进行合并和归约,可以有效地精简重复性告警数据.攻击意图识别层又称为后关联层,它有两个作用,第一:试图找回丢失的关键告警,使得目前断连的、但实际却是关联的告警数据可以关联,从而提高攻击场景的重构率.第二:对于攻击行为隶属多个不同攻击场景,但最终攻击意图不明的情形则使用对抗式规划识别模型来选择最优攻击场景路径,以较准确地解读攻击意图.使用规划求解方法对攻击过程(即攻击场景)建模,并用违背安全策略的系统状态对攻击意图建模,引入虚拟告警表示丢失的告警数据,并使用实时因果关联算法和基于概率传播和更新算法的贝叶斯网推理模型完成了上述功能.实例表明所提出的算法能较准确地定位攻击意图、理解攻击策略.使用MIT Lincoln Lab给出的2000 DARPA LLDOS1.0和Shmoo Group收集的DEFCON 8 CTF数据集分别对分级告警关联算法进行了性能测试,实验验证了算法的有效性.