入侵检测系统(intrusion detection system, IDS)作为一种积极主动的安全防护技术，能够发现异常情况和及时发出警报信息或采取主动防护措施，成为网络安全系统的重要组成部分.但是近年随着网络攻击规模的快速增长，IDS在对复杂的多步攻击行为进行实时分析方面变得力不从心.设计了基于专家知识的可扩展攻击匹配模板，用以实现对多步攻击场景的还原与重构，从攻击者视角还原攻击事件，帮助安全人员定位安全威胁.以实时警报信息为输入，通过挖掘出语义知识和预先构建的攻击匹配模板，利用匹配关联算法对警报进行聚合和关联，还原攻击场景，展示攻击脉络.实验结果显示，该方法可以实现对IDS的实时警报处理和关联，形成的攻击事件和攻击场景可为安全人员对漏洞的修复和下一步攻击的预防提供极大帮助，同时，设计构建的攻击匹配模板具有可扩展性及应对未来更多攻击的能力.

• 单位
  复旦大学; 南京赛宁信息技术有限公司; 南京理工大学