近年来,为了解决传统的入侵检测系统存在的误警率过高,告警量过大,单个告警所包含信息量过少等缺陷,信息融合技术在IDS领域得到了广泛应用。然而,此前的研究很少考虑到IDS告警的置信度问题,具体算法往往认为只要IDS设备发出告警就代表了网络中存在真正的入侵,然而由于IDS设备本身性能的问题,存在一定的误报率,且同一IDS设备在各个特定的告警领域表现的性能也不尽相同。在大规模网络环境下进行告警信息融合,如果不加区分地平等对待每个IDS设备,不考虑它们之间的性能差异,信息融合的结果和实际情况有较大的出入,没有充分发挥出信息融合的优势。本文结合当今IDS告警融合研究的现状,在考虑告警置信度的基础之上,在告警融合方面提出了一些自己的见解,其主要工作有:1、在考虑告警置信度的基础上,设计了一个较详尽的告警融合算法。和以往算法平等对待所有IDS设备不同,本文算法引入了置信度的概念,并将告警置信度作为告警的独立属性加载到整个算法中,此算法根据专家知识对每个原始告警赋予初始置信度,然后通过对多个信息源产生的告警信息进行聚类、合并和关联处理生成高质量的告警和攻击场景图,高级告警置信度根据D-S证据理论合并各原始告警置信度得来。2.在算法基础上,本文设计了一个IDS告警融合处理模型,此模型包含预处理、聚类、合并和关联四个不同的模块,分别对应融合算法中设计的各个步骤。其中聚类模块把相似告警聚合在一起,关联模块利用各告警前件与后件之间的因果关系进行关联运算,产生攻击场景图。融合模块能在一定程度上减少告警洪流、降低误警率,并能综合各个孤立告警的信息。3.作者简单实现了算法,并用DARPA标准数据集进行了验证,