黑客或恶意攻击者通过各种方法入侵网络,导致网络环境面临着大量具有针对性、隐蔽性和渗透性的潜在威胁,网络安全面临着严峻的挑战。入侵检测系统（Intrusion Detection System,IDS）作为安全防御系统被用来检测网络环境是否存在入侵行为,并针对各种入侵行为产生相应的报警数据,便于安全管理人员采取相应的防御措施,然而IDS在实际应用中会产生大量冗余、错误的报警,使得管理人员难以从中找到关键的报警信息,并且这些低级报警数据不能展示出攻击全貌,从而导致管理人员无法根据完整的攻击过程来识别入侵者的攻击策略。针对上述问题,论文针对入侵报警数据融合与关联分析方法进行研究,旨在减少冗余报警数据,并通过关联分析构建较为全面的攻击场景以识别攻击意图,主要研究工作如下:（1）由于IDS存在的一些缺陷,如冗余报警多、误报率高,以及产生的报警数据只能反应攻击过程中的单步攻击但无法展示攻击全貌的问题,提出一种入侵报警数据融合和关联分析的层次模型。该模型适用于当前复杂的网络环境,并能够应对当前IDS产生的报警冗余率高、误报率高的问题,而且可以全面展示攻击者的攻击过程。此外,还根据构建的模型进行了相应的原型系统设计。（2）针对报警数据中普遍存在大量冗余或者误报的报警,难以从中找出关键的安全事件的问题,且考虑到报警属性间存在着一定的关联,提出一种基于改进谱聚类的报警数据融合方法。为了减少矩阵计算时间,该方法首先将报警数据按照攻击类型进行分组;其次以谱聚类算法为基础,通过利用属性相似度度量方法来计算各组报警数据的相似度,进而将相似度较高的报警数据聚到一个簇中;最后对同一个簇中的报警数据进行融合处理。实验结果表明,该方法可以有效减少冗余报警数据,降低IDS的误报率。（3）针对现有报警关联方法作用比较单一,大多依赖先验知识库难以发现新的攻击模式的问题,提出一种基于攻击场景构建的报警关联分析方法。该方法首先利用动态时间窗口来划分场景;然后考虑到报警之间存在的因果关系,采用基于因果关联和格兰杰因果检验两种互补的关联方法对同一场景中的报警数据进行关联;最后根据关联结果重建攻击场景。实验结果表明,该方法能够提高关联效率,还原出较为完整的攻击过程,并能有效去除孤立的报警数据。