入侵检测系统(intrusion detection system，IDS)作为一种有效的安全防御技术，已经被广泛应用于计算机网络安全管理中。入侵检测技术能在不影响网络性能的情况下对网络安全进行监测，对网络内部攻击、外部攻击进行及时发现和处理。现有的入侵检测系统大都通过预先设定的检测规则来发挥作用的，通过对提取出的入侵行为特征，构建入侵攻击规则库，然后基于这种模式库，对网络流进行实时监测。　　 然而随着网络安全事件的增多和攻击行为的复杂化，入侵检测系统暴露出许多缺陷，其中包括数据量大，重复报警多，误报率高，报警只针对攻击过程中的单步动作，入侵响应能力差等诸多问题。　　 针对这些问题，入侵检测系统发展更多趋向于对安全事件的分析，对报警数据进行聚合和关联处理，可以更加直观、准确的反应攻击行为，提高入侵检测系统的应用价值。国内外学者从不同的角度对入侵检测报警信息处理这一课题展开研究，取得一定的成就。　　 在本文中，主要研究聚合与关联技术在入侵检测报警信息中的分析和应用。针对现在报警相似度计算方法进行了研究和对比分析，确定了基于属性的相似度计算方法，构成了基于属性相似度的报警信息聚合方法。最后，本文提出了入侵检测报警过滤与聚合模型，采用层次化模块化的处理方式，对报警信息进行分层处理，具体包括：采用基于频繁模式挖掘的方法去除明显的无关报警，采用去重算法的模块过滤针对攻击的重复性报警，采用报警聚合的办法分析攻击步骤，归纳攻击意图。最后实验测试验证了框架和算法的整体效果，证明采用了上述方法的报警处理系统能大量减少IDS的重复报警和误报警，较为准确的聚合相关报警，有效提高了入侵检测系统的可用性。