随着网络安全事件的增多和攻击行为的复杂化,入侵检测系统暴露出许多缺陷,如报警数据量大,重复报警多,误报率高,报警事件大多只对应于攻击过程中的单步动作,复杂攻击的表现能力差等。由于这些问题,使研究入侵检测报警数据处理技术成为了当前入侵检测系统研究的前沿课题。入侵检测报警数据处理技术能够减少报警的数量,过滤重复报警,可以更加直观、准确的反映攻击行为,提高入侵检测系统的应用价值。本文在数据融合和关联技术的基础上,针对入侵检测报警数据的特点,在入侵检测报警数据处理系统的总体设计以及部分关键技术进行了研究。设计了一个针对多入侵检测系统的报警数据处理系统框架。针对当今的融合算法数据之间的关系定义模糊,缺乏层次处理等问题,提出了一种层次化的处理方法。根据报警融合的特点,归纳出四种典型的报警数据关系类型。针对报警关系分别设计模块功能,层次化处理,降低了处理复杂度。其中归并模块基于采样的思想,不需要构建归并规则知识库,且归并信息损失小,灵活准确。在人工智能领域经典规划识别的基础上,针对入侵检测报警关联在搜索空间大,时间约束松散,效率低等问题,对目标规划图进行进一步扩充,形成扩展目标规划图。建立基于扩展目标规划图的报警关联模型,并进一步实现基于扩展目标规划图的报警关联算法。经过关联后的报警数据,能够反映攻击意图以及所采用的策略。本文研究将有助于降低部署多入侵检测系统,特别是轻量级入侵检测系统网络环境的报警数据处理代价,使报警结果更有利于指导网络安全管理。