IDS(Intrusion Detection Systems)旨在检测网络入侵行为,当前的IDS普遍存在以下问题:1)洪流报警:普通的IDS每天几乎能产生数百甚至上千的报警,报警中的大部分都是误报警(false- negative)和重复报警;2)低级报警:大部分基于规则的IDS在工作的过程中,只要检测到满足某个特征的数据包便会产生报警,通过这些低级独立的报警信息很难关联和分析出攻击者的意图;3)报警独立:IDS只能针对不同的攻击产生相互独立的报警,不能报告诸如DDOS和蠕虫病毒等大范围的攻击。本文针对洪流报警和低级报警问题进行了如下的研究:(1)对现有报警相似度计算方法进行了研究和对比分析,确定了IP地址,端口和报警类别相似度的计算方法,并对时间相似度算法进行了重点研究。通过实验分析了报警之间时间相似度的变化趋势及数学模型,给出了本文采用的时间相似度算法和参数的取值。这些相似度算法构成了报警属性相似度综合算法的基础模块。(2)设计了基于属性相似度的报警信息聚合关联系统,针对IDS存在的不同问题,采用不同的模块予以处理,具体包括:采用报警过滤器来过滤重复报警;采用聚合器来关联低级别的独立报警;采用关联器来分析攻击步骤和意图。(3)实现了以上提出的报警信息聚合关联系统,并用DARPA1999数据进行模块测试和整体测试分析。实验证明采用了上述方法的报警聚合关联系统能大量减少IDS的重复报警和误报警,较为准确的聚合和关联相似报警,有效提高了IDS系统的可用性。