随着Internet的发展,计算机网络安全成为越来越受人们关注的问题。为了增强计算机网络的安全性能,人们采用了多种安全技术,包括加密、身份认证、访问控制等,随着入侵检测技术的发展和成熟,入侵检测系统(Intrusion DetectionSystem)已经成为安全防卫体系中一个重要的环节。在实际的应用中,入侵检测系统往往会产生大量的误报警(False PositiveAlerts)、漏报警(False Negative Alerts)和重复报警(Duplicate Alerts),使得管理员无法有效分辨报警的真伪,从而降低了入侵检测系统的有效性。因此,寻求一种有效的方法去除冗余报警并降低误报率和漏报率,是提高入侵检测系统效率的有效途径。本文在深入细致地分析了现有入侵检测系统的各种体系结构、数据源和检测技术,并充分了解和认识了它们各自相应的特点及优缺点的基础上,对分布式入侵检测环境中的报警管理进行了研究,主要包括以下内容:1)介绍了一个分布式入侵检测系统,并对该系统的体系结构和功能进行了全面、完整的描述。2)重点研究了报警融合技术,设计并实现了报警融合模型,该模型包括报警聚合和报警关联两个模块。3)利用具有自适应特性的算法进行报警聚合,可以有效地聚合重复报警,减轻了网络负载。4)利用基于模糊综合评判(Fuzzy Comprehensive Evaluation)的算法进行报警关联,不但可以将来自于不同IDS的报警关联在一起,而且可以将入侵不同阶段的报警关联在一起,产生代表攻击过程的报警线程。算法在减少误报的同时,为下面的在线风险评估和响应决策提供多种综合性参数,具有较好的实时性。5)介绍了有监督的报警确信度学习算法和报警验证的概念与作用。本文首先概述了入侵检测系统的模型结构、一般特性以及不同分类,然后对研究重点——分布式入侵检测系统中的报警融合技术进行了详细描述,并着重讨论了其中的两个核心模块:报警聚合和报警关联,最后是系统的实验结果。