随着安全威胁日益增加,防火墙、漏洞扫描、入侵检测系统、防病毒软件等众多各异的安全设备纷纷部署在网络中。这些安全设备虽然在某些方面或者一定程度上提高了系统的安全性,但是也存在着管理复杂、各自为政、存在大量重复报警和误报等问题,难以应对日趋复杂化、高级化、持续化的高级复合攻击。安全信息与事件管理(SIEM),是将目标网络中的主机和网络的安全信息,以及其中的安全设备产生的安全事件收集整合,在信息共享的基础上,对采集到的安全信息与事件进行统一的冗余过滤、数据聚合、关联分析,挖掘出正在进行的攻击并做出实时快速的响应,预测安全态势。在安全信息与事件管理中,如何从复杂多样的安全设备产生的大量重复报警中关联出实际的已完成或者正在进行的攻击,从而反映网络的安全状况是其面临的关键问题。本文对安全信息与事件管理中的关键技术——事件关联进行了深入的研究,提出了基于攻击意图的安全事件关联算法。该算法采用层次化的目标树来表示攻击逻辑关系,将低级报警抽象为攻击意图,将传统的基于攻击行为的攻击事件转化为基于攻击意图的攻击事件,进而与事先建立的分布式网络攻击场景库进行匹配,从而实现基于攻击意图的安全事件关联,从大量嘈杂的安全事件中检测出高级复合攻击。本文在研究了开源安全信息与事件管理平台OSSIM的基础上,基于该平台改进了基于攻击意图的安全信息与事件管理系统,并模拟实现一次针对小型企业内网的典型高级复合攻击,以对该系统进行测试。测试结果表明,基于攻击意图的安全信息与事件管理系统能够准确地检测到高级复合攻击。