入侵检测系统(IDS)是近年来发展迅速的系统安全技术,它已经成为继防火墙之后的第二道网络安全防线。然而,传统的入侵检测系统有着两大弱点:(1)它通常关注于低级报警和异常,发出对应的孤立报警,而无法发现其中的逻辑联系和攻击策略。(2)传统的入侵检测系统会产生大量的误报,混杂于真实的报警之中。针对以上问题,本文提出了分布式网络入侵检测报警关联分析模型,采用模块化处理方式,对报警信息进行分层处理。采用报警属性近似度算法对报警进行聚合,结合前提和结果关联算法对攻击者能力进行建模系统的关联报警信息。该模型首先在IDS检测代理本地根据各IDS的报警属性统一报警格式和消除重复报警,对原始报警数据进行预处理,并将处理过的报警信息实时的发送发给中心节点服务器;接着去除不同IDS产生的重复报警信息;采用属性近似度算法聚合报警信息;然后,对攻击者能力进行建模,结合前提和结果关联算法进行关联分析;最后输出攻击轨迹链,通知管理员。同时进行了仿真实验对模型和算法进行了测试,并通过对比实验结果,证实了提出的模型和算法可对报警信息进行有效的分析处理。为本实验室提出的基于入侵检测系统、蜜罐系统、防火墙系统联动的主动防御体系提供报警分析解决方案。