入侵检测技术是当今网络安全的一项重要技术，入侵检测系统作为一种主动防御手段，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵，因此被认为是防火墙之后的第二道安全闸门。然而入侵检测系统有着一个普遍的问题就是报警率偏高，容易产生大量重复报警，且容易产生误报和漏报。报警聚合与关联技术正是在一背景下应运而生。本文对基于特征相似度的报警聚合算法进行研究，找到普通报警的关键特征，以便进行特征相似度的计算，进一步做报警聚合的信息处理。目标是降低入侵检测系统的报警次数，对重复的报警相关进行有效的报警聚合。本文在内容上分以下几部分。　　首先，主要介绍了本论文涉及到的相关的概念和原理，包括入侵检测系统的原理，报警聚合及关联的概念，报警体系结构，报警标准信息结构等其他重要概念。　　其次，本文采用基于特征相似度的报警聚合算法进行报警聚合。本文首先定义了标准的普通报警格式和超报警信息格式，以便将报警信息进行规范化处理。然后给出了基于特征相似度报警聚合所需要的报警信息特征，并给出了这些特征的特征相似度计算方法，最小相似度，期望相似度（也可看作权重）和报警阈值，并讨论和分析了上述各值的设置对于报警聚合可能造成的影响。而后又给出基于该算法的报警聚合系统的设计，提出了基于多线程的报警聚合处理方式，加快处理速度，提高系统的吞吐率。　　第三，本文通过对Snort的入侵检测系统所产生的普通报警进行报警信息预处理，然后对预处理后的报警信息用本文中所设计的报警聚合系统进行报警聚合，从而产生了基于Snort入侵检测系统的超报警。在这部分通过实验分析了报警阈值，特征相似度权重设置对于报警聚合效果的影响，分析了报警聚合系统的报警聚合效果。　　最后，对本次报警聚合算法进行了评价，并展望了为了报警聚合领域的发展趋势。