入侵检测技术以其能够收集分析网络中关键点的信息、发现违反安全策略的行为,得到广泛的研究和应用。然而,入侵检测系统的报警存在的误报率、冗余率偏高、可扩展性差、报警层次低等问题,制约了它的进一步发展。为了弥补这些不足,在网络入侵检测系统的报警数据处理中引入数据融合技术。本文分析了目前网络入侵检测系统中存在的问题。对常用的报警数据融合方法进行了研究,分析了它们的技术特点以及优缺点。根据原始报警数据的特点,探讨了原始报警数据的分类。结合以上的研究,总结出报警融合系统模型的功能需求。针对报警融合问题复杂、系统实现难度大的问题,综合多种报警融合技术构造了层次化的报警融合系统模型。模型主要包括预检、聚合、关联和过滤四个层次,通过滤除无关报警、聚合冗余报警、关联可关联报警、过滤孤立报警,层层融合原始报警数据,提高报警信息质量,简化系统实现难度。针对现有报警聚合方法在时间扩展性方面的不足,将变异系数模型引入报警聚合的时间属性判定,提出了基于动态时间阈值的报警聚合方法。将此方法应用于实际报警数据的聚合。模拟具有动态时延特征的网络攻击行为,触发Snort报警,验证了动态时间阈值报警聚合方法的有效性和自适应性。应用上述方法设计的实验系统能够及时、合理地对将攻击行为的报警进行融合,减少重复报警数。提出的基于动态时间阈值的报警聚合方法对于持续性攻击触发的报警的时间属性具有一定的自适应性,比固定时间阈值的报警聚合方法有更好的报警聚合效果,达到了设计的目标。