随着计算机网络和信息技术的广泛应用,信息和网络系统的安全变的至关重要。入侵检测技术是继防火墙、VPN、数据加密等传统安全保护措施后新一代的安全保障技术。它作为一种积极主动的网络安全防护技术,提供了对内部攻击、外部攻击和误操作的实时监控,在系统受到危害之前拦截和响应入侵。但由于网络规模的不断扩大,网络结构的不断复杂,面对大规模、分布式的攻击,传统单一的入侵检测技术已经很难满足系统的安全需要。目前入侵检测系统主要存在着高误报率、大量冗余报警信息和很难发现时间上分散的分步骤复杂攻击等问题,因此如何解决这些问题成为当前安全领域的研究热点之一。数据融合技术是一种多层次、多方面的处理过程。这个过程是对多源数据进行检测、联合、相关、估计和组合以达到精确的状态估计和身份攻击,以及完整、及时的态势评估和威胁评估。目前,数据融合技术已经成功的应用于军事、地质和医药等多个领域,但在入侵检测领域中的应用还处在理论研究阶段。论文分析了当前入侵检测系统的现状及数据融合技术,针对目前入侵检测系统存在的不足之处,将数据融合技术应用到分布式入侵检测中,通过深入研究几个经典的数据融合模型,提出了一个适合分布式入侵检测的报警融合模型。该模型同样采用数据的多层次处理,分别完成报警提取、报警融合、攻击企图分析、态势评估和威胁评估等功能,并动态地反馈、调整网络中的各个检测组件,加强对与攻击意图相关的数据检测,进而提高入侵检测系统的检测效率、抑制海量报警、减少报警的误报和漏报。论文还针对报警融合模块的功能需求,设计并实现了一个报警数据融合算法。该算法应用模糊综合评判方法来计算报警之间的关联度,通过把属于同一攻击过程的报警关联在一起,形成一个按时间顺序排列的报警序列,为攻击场景的重构提供有效的数据来源。论文通过实验证明了该报警数据融合算法在减少冗余报警信息、降低误报率、提高检测率等方面的有效性。最后总结了本文的研究工作,并指出了下一步的研究方向。