随着Internet的飞速发展,互联网所面对的和隐藏的安全威胁越来越复杂,越来越严重。作为网络安全的一个重要组件,入侵检测系统将发挥着越来越重要的作用。但是现有的大多数入侵检测系统仍然存在误报、漏报率高的缺陷。　　数据融合是一种多层次、多方面的处理过程,它对多源数据进行检测、相关、估计和组合以达到精确的状态估计和身份估计及完整、及时的态势和威胁评估。本文将数据融合技术应用于分布式入侵检测系统,构建了一种新的基于数据融合技术的树型分布式入侵检测系统模型,它能有效地降低误报、漏报率,而且有较好的自适应性和扩展性,能够适应大规模高速网络的发展。同时,整个系统可以完全在windows下实现,方便了管理员和用户的使用。　　在系统低层上,本文使用并改进了基于警报数据融合的过滤算法,用中间管理控制代理收集并统计分析局部检测代理警报,产生并自动更新过滤规则,局部代理依据这些过滤规则可以滤除大量误报。改进的过滤算法加快了过滤规则的更新,能够更好更准地滤除当前出现的误报。高层上,应用D-S证据理论融合所有局部代理检测结果,并在此基础上,将检测分为几个周期,进一步融合不同周期的检测结果,得出一个更优的全局检测结果。局部决策空间融合结合了主机代理和网络代理检测方面的优势,克服了单一检测的缺点;不同周期融合进一步降低了识别目标的不确定性,提高了系统检测率。　　系统在初步实验中采用了MIT林肯实验室数据集DARPA1999部分数据作为检测数据源。实验结果表明,系统对DoS攻击的检测率可以达到69％,单一检测代理snort检测率仅有50%。通过校园网环境测试,系统能够过滤约45%的误报,实验证明这种基于数据融合技术的分布式入侵检测系统能有效地提高检测率,降低误报率。