由于网络呈现多元化、多服务、多应用等特征。单一的检测方法和检测系统难以检测各种复杂攻击,综合多种检测技术或多个检测系统能够有效地提高检测准确性。然而各种IDS在检测过程中会产生大量孤立、原始的报警信息,这些报警信息除具有海量和冗余的特点,还有比较高的漏报率和误报率,导致很难从中识别出真正的攻击。所以,如何解决这些问题成为当前信息安全领域的研究热点之一。数据融合是一种多层次、多方面的处理过程,是对多源信息进行检测、联合、相关、估计和组合,以达到精确的状态估计和身份估计,以及完整、及时的态势评估和威胁评估。针对入侵检测系统存在的不足之处,论文将数据融合技术应用到入侵检测系统中,设计了一个入侵检测报警数据融合模型,采用模块化处理方式,对来自不同检测代理的报警进行分层处理。该模型首先在检测代理本地根据各IDS的报警属性统一报警格式和消除重复报警,并将处理过的报警信息实时发送到中心控制台;接着采用属性相似度算法融合报警信息,在判断报警之间的相关性时,引入了模糊综合评判的方法;然后采用基于攻击意图分析与因果关联的方法,以基于规则的模糊认知图作为关联模板,将报警信息与安全策略相联系,结合系统脆弱性与配置信息对入侵行为进行关联分析。最后对模型和算法进行了仿真测试,通过对比实验结果,验证了所设计的报警融合模型可对报警信息进行有效的分析处理,大大减少了管理员需要处理的报警数量,降低了误警率。所选择的关联方法能够成功发现复合攻击,并能对复合攻击各个阶段的攻击后果进行评判。