现有的入侵检测系统存在着误警率、漏警率高、海量信息难以分析和缺少主动阻断攻击行为的手段等缺陷,造成这种现象的重要原因在于数据来源的单一和分析的层次过低,本文就此提出了一个基于数据融合的入侵检测系统模型,这个模型以入侵检测技术为中心,通过基于主机的入侵监测系统、基于网络的入侵监测系统、防火墙、漏洞扫描系统以及访问控制、身份认证等安全系统的信息融合,做到对安全形势全面知情和深入分析,进而通过这些安全产品的协作和互动,在最合适的位置阻止正在进行的攻击行为。本模型采用了五层功能模型,分别完成警报获取、攻击识别、态势评估、威胁评估和资源管理等功能,在体系结构方面对融合的第0、1层和第2、3层分别采用了集中式特征级融合方法和基于专家系统的决策级融合方法,在算法上采用了产生式作为专家系统得知识表达方法,并针对模型中的核心功能:关联攻击行为、追踪攻击者和降低误警率部分构造了产生式规则,同时通过实验验证了这一算法的有效性。