在信息化高速发展的今天,信息和网络系统的安全变得越来越重要,而随着网络入侵者水平的逐渐提高,入侵行为也在变得日益严重。入侵检测技术作为传统防御技术的补充,已经成为学术界的研究热点。虽然入侵检测系统能提供对内部攻击、外部攻击和误操作的实时监控,但单一的入侵检测技术已经很难满足系统的安全需求,同时各种IDS往往会产生大量冗余报警和误报警,降低了系统的有效性。因此,本文在分布式IDS的基础上对入侵检测报警数据的处理技术进行研究。本文首先介绍了现有入侵检测系统的各种体系结构,分析了它们各自的特性和优缺点,并通过深入研究目前典型的数据融合模型,设计实现了一个基于分布式IDS的报警数据的处理模型。该模型对报警数据进行多层处理,在各个IDS的本地代理上完成报警格式的统一,并采用一种自适应的方法合并其中的重复报警;接着对报警进行分类匹配,聚合有较高相似程度的报警;然后,使用一种新的基于时间窗口的报警选择方法来选择适量的报警进行关联比较,并自动构建关联知识库,挖掘元报警之间的关联关系,同时绘制报警事件关联图,将图形界面呈现给安全管理员。最后论文实现了基于分布式IDS的报警数据处理模型,并对各个模块的功能进行了测试,验证了模型以及报警聚合关联算法的有效性。