科研背景：随着计算机网络和信息技术的高速发展，网络安全形势日趋严峻，大规模攻击日趋频繁。为了防范网络攻击，产生了很多的安全技术。入侵检测系统是继防火墙之后的第二道网络安全屏障，是一种主动的安全防护措施，有效弥补了防火墙的不足。虽然目前的入侵检测系统具有强大的攻击检测能力，但是多数的IDS仍然存在大量重复告警的问题，误报率偏高，告警质量低下，只能检测单步攻击行为，无法反映渗透的整体过程以及攻击者的攻击意图，使得安全管理人员难以管理和分析海量告警数据。

科研问题：如何降低IDS冗余告警带来的负面影响；现有的告警关联方法大多存在需要不同程度的专家知识。

科研目的：基于入侵检测系统根据网络实时流量输出的告警信息，构建网络基本事件图谱，减少冗余信息，降低处理时间复杂度。提出一种基于多因素的告警关联方法，方法核心在于通过结合时间、IP 地址、告警类型等多个因素来综合度量告警间的关系。