随着当今网络技术的发展，网络已经成为小到个人日常生活，大到政府企业都不可缺少的重要部分。当今的网络不仅存储着各种各样的个人私密信息，同时也加载着各种重要的服务。当这些网络资源都暴露在网络中的时候，如何维持网络的正常秩序，保证网络中存取信息的安全成为一个重要的课题。为了保证网络的安全，经过科研人员的不断努力，网络安全已经成为一个完整的独立的学科。如今的网络安全技术已经囊括了包过滤技术、蜜罐技术、日志审计技术、入侵免疫、取证技术、入侵容忍、隐私保护、网络安全态势感知、入侵防御技术（IPS）和入侵检测技术（IDS）等多个方面。从主动保护到被动防御，从威胁监测到自动恢复，多管齐下共同维护网络的安全。虽然网络安全的级别不断提高，试图在网络上实施攻击行为，获取不法利益的也也不断增加。当前的黑客攻击软件功能不断增加和集成，使得攻击者在所需的基础知识要求不断降低，攻击准备时间不断缩短，攻击造成的影响不断增加。多步入侵是一种新型的入侵模式。这种模式不是通过简单的一次性行为完成攻击，而是通过将多个简单的攻击行为有机的结合起来，共同实现一个完整的攻击。这样的攻击在传统的基于单步攻击的检测中是不能很明显看出来的。针对这种攻击，提出了警报关联的思想，将提取的单步攻击数据整合起来，找到完整的攻击序列，实现对攻击行为的预警和攻击者定位的目的。当前实现警报关联的方法已经多种多样，例如采用警报间属性相似度度量、因果关系分析、场景分析和数据挖掘等方法。这些方法都能基于不同属性实现警报关联的目的。在本文中，通过引入时序的分析方法，将时间作为关联的属性。通过对时间的关联分析，完成警报之间关联。时序分析法是经济学中广泛使用的分析手段。通过这种方法可以对采集到的数据按照时间进行建模，根据建模的结果实现数据的分析。本文对时序建模的常见方法进行了归类和分析，并例举了常见的时序分析方法。格兰杰算法是一种基于时序的关联分析方法。将这种方法应用到警报数据的分析中可以实现警报关联的目的。为了将这种方法应用到入侵检测中，本文首先分析并给出了基于时序分析的多步攻击检测流程，将格兰杰算法与这个流程结合在一起，得出了基于格兰杰算法的多步攻击入侵检测框架。在框架的基础上完成编码，实现了基本的算法。由于这样的算法在具体应用中对延迟警报处理上存在漏洞，对算法做出了改进。最后通过三个实验，验证了基本算法和改进算法的有效性。在实际环境下，网络中的数据不断变化。为了适应这种变化，算法还需要在自适应性上进一步提升。所以在文章的最后，基于当前的研究，给出了基于规则和基于检验过程的改进建议。