随着网络时代的来临,人们在享受网络带来方便快捷的同时,也日益遭受到来自于网络的入侵攻击行为。如何保证传输的信息安全?如何及时的发现恶意的入侵行为?面对攻击手段的连续性、多样性和不可预测性,单纯的防火墙技术、漏洞及补丁等网络防御技术不能完全满足人们的需要,人们迫切需要能完整勾画出攻击者入侵过程和展示攻击意图的方法。STATL是一种基于状态和迁移的攻击描述语言,将攻击描述为状态和变迁的集合,入侵的过程便是使系统从安全的初始状态逐步过渡至受损害的入侵状态。但STATL定义所有场景都是独立的,在攻击描述中,只是描述系统的不同状态特征以及不同状态的转换,而不描述攻击过程。当入侵者采用多种攻击方式和多个攻击步骤,每一个场景只描述一种类似的低层次攻击行为,其真正的攻击过程会隐藏在许多低层次的入侵报警之中。本文提出用关联分析不同场景实例,达到从更高层次寻找攻击行为关系、构建完整入侵场景的方法。首先介绍和研究了与STAT相关的一些入侵检测内容,如网络安全研究现状、入侵检测技术和STATL技术等,通过对各个技术分支的研究和比较,阐明该研究对入侵场景构建方面的重要意义。随后抽象描述场景实例属性和建立属性库,定义必需的处理实例属性函数,在保留原STATL场景独立性的同时,增加超场景来关联场景。最后改进了一些STATL语言的主要文法,并提出了处理多个场景实例的关联算法。在关联方法的选择上,采用最常用的基于报警属性相似度的方法。最后通过实验测试DARPA2000攻击数据集来验证了构建入侵场景的可行性。