随着Internet技术的迅速发展,网络入侵问题也越发严重,入侵检测己成为网络防护安全体系中的重要组成部分。入侵检测系统通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,以发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象。传统的入侵检测系统(Intrusion Detection System,IDS)只能检测低水平的攻击,而且仅产生一些孤立的报警,这使系统管理员很难理解这些孤立的报警,也不可能依据这些报警做出适当的处理行为。实际中每种攻击都是由一系列小的阶段组成的,这些阶段会产生相应的报警,利用这些报警作为特征场景(scenario),可以使用它们作为攻击的特征,来描述和代表攻击。本文把IDS报警归类为若干种超报警(Hyper-Alert)类型,为每种超报警类型定义相应的攻击条件和攻击结果,通过对超报警的关联分析,生成超报警关联图,构建出攻击过程,从而揭示出攻击者的攻击策略和攻击意图。本文提出了一种基于规则的层次模型,而且采用了开源的专家系统(CLIPS/Drools)作为规则的推理引擎,分析和构建攻击场景。本文完成了规则的设计,专家系统规则模板的构造,以及一个完整的入侵检测系统的实现。该系统使用了专家系统和状态迁移的入侵检测技术,能够对Snort报警进行实时场景检测,并对检测出的攻击进行场景还原,生成攻击图,据此可以清楚地看到攻击的过程。最后,对分别采用CLIPS和Drools作为专家推理系统的入侵检测系统进行了效率比较和分析。本方法的优点主要体现在基于状态迁移和专家系统技术的攻击场景检测系统能够把大量的IDS报警归类为不同的攻击场景,每一个场景代表攻击的一个阶段,然后专家系统对这些场景进行关联分析,生成攻击场景图。这样网络安全管理员就不需要一个一个地观察报警信息,他们可以根据场景图很好地理解这些报警数据,然后对真正的安全问题做出正确的判断和处理。管理员还可以根据攻击发生后这些攻击形成的场景和阶段发现入侵者的攻击策略,据此可以更有效的维护系统以免遭受同类型的攻击。同时,该实时入侵检测系统能够减少误报警。