随着计算机网络的广泛而深入的应用,保护网络系统的安全与稳定已经成为一个刻不容缓的课题。大规模网络安全态势分析是掌握宏观网络安全状态的重要手段,对大规模报警日志的分析是其中的重要环节。报警日志的规模在急剧的增长,未知的攻击层出不穷,这就迫切要求报警不能只局限在琐碎、底层的攻击,需要生成高级的报警视图以反映宏观网络的安全态势、揭示复杂的攻击意图。传统的报警关联分析方法只能对规模有限的、已知攻击的报警日志做关联,无法有效的发现大规模报警日志中的知识。报警关联规则挖掘和序列模式挖掘,可以自动的发现大范围网络安全事件报警的特征、发现复杂攻击模式,是一种智能性较强的解决方案。本文就大规模报警日志的报警关联规则挖掘和序列模式挖掘进行了以下几个方面的研究:首先介绍了报警关联分析的目的意义和研究现状,介绍了目前主要的报警关联分析方法,指出了报警关联规则和序列模式挖掘对发现大规模报警日志中的知识的重要作用,进一步明确了本文的研究内容。在对传统的关联规则和序列规则相关概念和算法的讨论基础之上,过渡到报警日志挖掘的具体问题上来。在挖掘报警关联规则过程中,由于报警日志数目庞大,当最小置信度设置较小时,传统的关联规则挖掘算法效率低下,而且不可避免的生成大量无用的关联规则。鉴于以上问题,本文引出了几种筛选报警关联规则结果的几种方法,详细讨论了通过制定报警关联规则模板的方法来减少无用规则的生成;通过引入兴趣度评价标准改进支持度——置信度框架,重新评价关联规则的价值;并结合报警关联规则模板和兴趣度,提出了本文的MFP-template算法。实验证明,MFP-template算法不仅可以大大缩短挖掘时间,降低耗费的系统资源,而且能减少大量无用的关联规则,生成用户更感兴趣的知识。为了发现复合攻击的攻击意图,本文采用了序列模式挖掘的PrefixSpan算法,对报警日志进行了序列模式挖掘,并通过对报警定义相应的权能级别,验证序列模式中报警是否满足权能递增的特征,从而筛选出体现复合攻击意图的攻击序列。实验表明,通过权能递增检查的方法筛选报警日志的序列挖掘结果,能够发现用户感兴趣的、有价值的复合攻击序列模式,为用户深入认识复合攻击提供了有利的帮助。