信息安全己成为世界性的现实问题,入侵检测是网络安全体系中的重要防范技术,能够及时发现并报告网络系统中未授权或合法用户滥用特权等现象,并及时做出响应,主动保护自己免受攻击,是对系统扫描器和防火墙这些被动策略的逻辑补充.但由于现有的技术缺乏强壮性、适应性和扩展性等特性,不能满足网络安全的实际需求.该文在分析了现有入侵检测技术基础上,提出了一种分层的基于数据融合的入侵检测系统.从而可以提供给安全管理员全局的误报率较低的和较为综合的报警信息.在这个系统的最底层,检测代理分析各种数据源,负责本地网络的检测,并将报警发送给上层的融合代理,而且这些报警是遵循入侵检测消息交换格式标准的.在第二层,融合代理的功能是进行融合关联从而能够识别黑客攻击的意图.因此,为了完成这些功能我们实现了下面几个模块:报警收集模块,收集不同检测代理发送的报警,保存在本地磁盘并进行管理;报警融合模块,将每次攻击产生的报警识别为同一类报警并生成相应的全局报警.报警关联模块,将处理后的报警进行关联,从而可以去除一些误报,同时提供给管理员一个较为综合的报警信息.在最高层,代理管理器进行整个网络的全局的报警融合关联从而获取入侵者的攻击策略和攻击的意图.实验证明,该系统具有较高的检测率和较低的误报率,达到了设计的目标.