随着网络在日常生活中应用范围的逐步扩大，网络的安全和可靠越来越为人们所重视。在所有网络安全机制中，入侵检测系统已经与诸如加密认证和访问控制等基于防御的安全机制一起成为保护网络免受恶意攻击的第二道防线。然而，传统的入侵检测系统存在两大缺陷。首先，它们产生的主要是针对攻击或者异常的低层次告警，并且它们产生告警的过程是独立的，这样各个不同的入侵检测传感器产生的告警可能存在冗余信息或者告警间互相存在逻辑关联。其次，传统的入侵检测系统所产生的告警信息中存在大量的虚假告警，它们与真实的告警信息相互混杂，并极大的增加了告警数量。包含重复告警和虚假告警的大量告警信息可以导致系统管理员不堪重负，并使他们不能充分的了解和掌握网络的安全状况并及时做出恰当反应。基于上述观察，作者的主要工作集中于对入侵检测系统所产生的告警信息的分析和关联方法研究。本文首先介绍了当前告警信息分析和关联所采用的主要方法，分析了利用告警间逻辑关系来进行告警分析和处理的工作原理，并针对它们存在的缺陷提出了相应的改进方法。其次，由于传统的告警分析和关联方法利用有关告警信息间已知逻辑关系的已有知识来进行处理，因此传统的告警关联方法无法处理新的告警信息或者已知告警信息之间新的关联关系。本文据此提出将信息论的方法应用到告警分析和关联中，这样可以不必依赖于预先定义的告警间逻辑关系来进行告警分析和关联。最后，本文采用美国麻省理工学院林肯实验室发布的DARPA1999数据集合对告警分析和关联方法的性能进行了实验验证。实验结果表明该方法能够有效的发现告警之间存在的关联，构建攻击脚本，从而降低告警量。