近年来,随着互联网的高速发展,网络安全事件数量激增。入侵检测系统在面对海量事件时通常会产生大量告警,这些告警中包含了许多误报和冗余告警,这都严重削弱了入侵检测系统在实际应用中所发挥的作用。因此,对入侵检测系统所产生告警进行融合处理就非常重要,这将能够提高入侵检测系统发现网络安全事件的准确率。本文在首先介绍了入侵检测的基本概念之后,对当前流行的分布式入侵检测系统结构以及实现进行了归纳和整理。同时,提出了基于协议分析的原始数据过滤机制、基于专家系统的入侵检测告警过滤机制和基于告警类关联的初级告警融合机制。基于协议分析的原始数据过滤机制通过采用协议分析来过滤原始数据,减少误告警,而且该机制能够应用于IPv4和IPv6两种网络。基于专家系统的入侵检测告警过滤机制使用专家系统,利用知识库的知识,通过过滤引擎,对原始告警进行过滤,可以减少误告警,为进一步的告警融合做好了准备。基于告警类关联的初级告警融合机制在基于协议分析的原始数据过滤和基于专家系统的告警过滤基础上,利用告警的分类,通过告警类关联技术,使用关联引擎,对告警进行融合,可以减少冗余告警。该机制可以在一定程度上降低误报率,并从海量告警中识别出部分复杂的攻击行为。以上三种告警处理机制是一个有机的整体,经过这三个步骤处理后,入侵检测系统中的误告警和冗余告警会有一定程度的减少,同时通过融合,还能发现部分告警之间的关联关系。