入侵检测技术是继防火墙、数据加密等传统安全保护措施之后的新一代安全保障技术,是P2DR网络安全模型中的重要环节,它对系统的安全防护起着至关重要的作用。但是在P2DR安全模型下,入侵检测系统(IDS)与安全信息/事件管理系统(SIEM)的关系是单向的、孤立的、静态的,这使得入侵检测系统不可避免的具有一系列缺陷,如滞后性、高漏报率、高误报率、产生海量琐碎的日志等。为了改善IDS存在的上述缺陷,本论文提出一种基于报警关联分析的智能入侵检测技术。该技术的基础为一个基于状态迁移的IDS框架,对每种入侵行为的检测方式都围绕着一个攻击场景来设计、表示和实施,每个攻击场景相当于一个有限状态机(FSM),将检测过程看作是系统安全状态在攻击场景中的变迁,当系统安全状态随着一系列安全事件的发生而转移到“报警”状态时,IDS发出报警信息。系统对这些报警信息做分布式采集、集中存储和处理,并由一个关联分析引擎来挖掘报警信息之间存在的关系和联系。设计一种调整方式,使得原有IDS的有限状态机可以根据关联分析的结果而动态地、实时地进行调整,从而达到改进检测方式、降低漏报率/误报率、减少报警信息数量和增加报警信息质量的目的。本论文的工作主要体现在如下方面:1.研究并搭建基于状态迁移的入侵检测系统;2.对入侵检测系统的报警信息进行标准格式化和集中收集、存储;3.研究、选择并实现数据挖掘领域中的关联分析方法,对采集的报警信息数据进行关联分析,挖掘出有益于改进入侵检测性能的、存在于出报警信息间的关系和联系;4.设计并实现算法,根据关联分析的结果而动态改变入侵检测系统的状态机,即改变入侵检测的方式。