入侵检测系统已经能够用各种检测方法来检测入侵,但是,大多数的入侵响应系统只是形成日志或报警来通知系统管理员,滞后的人工响应造成了不可恢复的严重损失。入侵检测系统迫切需要自动响应,一旦发生入侵,系统能采取适当的措施及时抵御面临的威胁。本论文在对相关研究领域己有工作进行总结的基础上,提出了一种自动入侵响应系统的通用框架。入侵响应系统以入侵检测系统输出的安全事件作为输入。由于入侵检测系统的局限,它检测出的事件与攻击的发生存在多对一的关系,因此本文研究了冗余消除问题,它对响应系统的输入进行预处理,对每次攻击仅产生一个事件,从而避免响应系统做出多余的响应。本文对冗余事件的关联特征进行系统的分析,包括攻击类型关联特征、空间关联特征、时间关联特征。对于空间关联特征,本文采取枚举的方法进行分析;对于时间关联特征,本文通过对大量的攻击实例进行分析,提出了相对均方差模型来刻画其特征。在提取这些关联特征的基础上,本文使用基于规则的方法描述每种可能的冗余情况,并提出了基于实时聚类的冗余消除算法,根据冗余消除规则集,实时接收安全事件进行冗余消除。入侵意图识别的主要目的是实现警报关联和对复合攻击的预警。本文提出的入侵意图识别算法基于复合攻击的步骤间主要存在因果逻辑关系的特点,提出基于因果关系关联警报以进行意图识别。该意图识别算法具有算法复杂度较低和易于计算环境参数等优点。对冗余消除算法的测试和分析表明,该算法能够有效地消除原始安全事件流中的冗余,对高速网络中一周安全事件分析显示冗余消除程度达10倍以上。实验证明事件关联算法具有较强的事件关联能力,一定的意图识别能力,数据基于DARPA的两个测试数据集。