由于网络应用日趋复杂,呈现多元化、多服务、多应用等特征。单一的检测方法和检测系统难以检测各种复杂攻击,综合多种检测技术(误用检测、异常检测)和多个检测系统能够有效提高检测的准确性。然而各种IDS在检测过程中会产生大量独立的、原始的告警信息,这些告警信息除了具有海量的特点外,还有比较高的误报率和漏报率,由于真正的攻击隐藏在大量误警中,导致很难从中识别真正的攻击和对攻击及时做出响应。这就需要对源自不同检测方法和检测系统的检测结果进行数据融合处理,得到一个综合的判别结果,同时为了能够适应攻击预警、计算机网络的安全状态评估等高层次的安全需求,同样需要对大跨度时间和空间的多个入侵检测系统的告警信息进行数据融合处理。本文针对现有IDS告警融合研究的现状,通过对各种融合技术的分析比较,提出了一个对入侵检测告警信息进行融合处理的系统模型。主要工作有:①针对IDS原始告警信息的不足和其特点,在对其进行预处理的基础上,设计了一种对原始告警进行聚合的算法。②在对IDS原始告警进行聚合的基础上,提出了一种全新的基于攻击意图分析与因果关联的模糊入侵关联方法。该方法利用基于规则的模糊认知图(RBFCM)为模板,把入侵警报与安全策略相联系,结合系统脆弱性与配置信息对入侵进行关联。此关联方法不仅能识别复合攻击的各个阶段、构建出完整的攻击视图,还能对复合攻击的各个阶段的攻击后果进行评判。③在算法基础上,本文设计了一个IDS告警融合处理的系统模型,此模型包含预处理、聚合、合并和关联四个不同的模块,分别对应融合算法中设计的各个步骤。④最后简单实现了算法,并用DARPA标准数据集进行了测试。测试表明,本文设计的融合处理模型可以一定程度的降低误警率,大大减少了管理员需要处理的告警数量;关联方法能成功发现复合攻击,并能对复合攻击各个阶段的攻击后果进行评判。