入侵检测系统(IDS)是网络安全防御策略中的关键组成部分,但在现阶段庞大且复杂的网络环境以及网络攻击规模逐年增长的背景下,IDS中存在的告警数量庞大导致的可读性差等问题,使得IDS的易用性极大降低.文章提出一种面向IDS真实告警数据流的攻击场景重建方法,从攻击者的角度将完整的多步攻击行为定义为攻击事件,以动态时间窗辅以告警上下文特征相似度判定的机制分离告警流中并行的事件,并通过提取事件在IP层面表现出的攻击路径的方式,分解事件中攻击者对不同目标的攻击行为,进一步获取攻击者在各条路径上的攻击类型转换序列进行因果知识挖掘,从而直观地展示攻击者的多步攻击场景.实验结果显示,该方法能够完整地捕获告警数据流中的攻击事件,多层次准确直观地展示多步攻击行为,有效提升了IDS的实际应用体验.