防火墙、入侵检测系统、防病毒系统等多种安全设备的部署增强了受保护网络的安全防护能力,但是还存在很多问题:大量冗余安全数据的产生使网络安全人员难以实时处理,而且安全事件独立分散,无法有效的反映真实的网络威胁。安全事件聚合方法能够通过分析安全数据的产生规律和内在联系,减少冗余数据,提高告警质量。　　通过对安全数据的统计发现,少数规则产生了大量的告警,某些告警的产生具有明显的周期性。而在实际的网络中攻击行为的发生具有突发性,因此去除周期性的告警可以有效的减少误报。网络安全事件聚合算法定义了统一的告警格式,首先收集不同安全设备产生的安全事件并进行格式化操作,然后识别产生告警的主要属性(规则和IP等),根据属性的不同组合统计其每个小时产生的告警数量,同时采用Fourier变换对产生的时间序列进行周期分析,定义去除规则,实时进行规则匹配去除误告警。最后根据告警的源地址和目地址属性模式,可把安全事件分为多对一,一对多和一对一三类,按照以上三种模式对告警进行动态聚合,生成高级告警。实验对CERNET的一个100Mbps接入网和蜜网下采集的安全数据进行分析,结果表明该方法在较大规模的实际网络安全数据处理中具有较好的效果,能够去除90％以上的原始告警。