1、近年來(lái)，隨著互聯(lián)網(wǎng)的高速發(fā)展，網(wǎng)絡(luò)安全事件數(shù)量激增。入侵檢測(cè)系統(tǒng)在面對(duì)海量事件時(shí)通常會(huì)產(chǎn)生大量告警，這些告警中包含了許多誤報(bào)和冗余告警，這都嚴(yán)重削弱了入侵檢測(cè)系統(tǒng)在實(shí)際應(yīng)用中所發(fā)揮的作用。因此，對(duì)入侵檢測(cè)系統(tǒng)所產(chǎn)生告警進(jìn)行融合處理就非常重要，這將能夠提高入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)網(wǎng)絡(luò)安全事件的準(zhǔn)確率。 本文在首先介紹了入侵檢測(cè)的基本概念之后，對(duì)當(dāng)前流行的分布式入侵檢測(cè)系統(tǒng)結(jié)構(gòu)以及實(shí)現(xiàn)進(jìn)行了歸納和整理。同時(shí)，提出了基于協(xié)議分析的原始數(shù)據(jù)過(guò)濾

2、機(jī)制、基于專家系統(tǒng)的入侵檢測(cè)告警過(guò)濾機(jī)制和基于告警類關(guān)聯(lián)的初級(jí)告警融合機(jī)制。 基于協(xié)議分析的原始數(shù)據(jù)過(guò)濾機(jī)制通過(guò)采用協(xié)議分析來(lái)過(guò)濾原始數(shù)據(jù)，減少誤告警，而且該機(jī)制能夠應(yīng)用于IPv4和IPv6兩種網(wǎng)絡(luò)。 基于專家系統(tǒng)的入侵檢測(cè)告警過(guò)濾機(jī)制使用專家系統(tǒng)，利用知識(shí)庫(kù)的知識(shí)，通過(guò)過(guò)濾引擎，對(duì)原始告警進(jìn)行過(guò)濾，可以減少誤告警，為進(jìn)一步的告警融合做好了準(zhǔn)備。 基于告警類關(guān)聯(lián)的初級(jí)告警融合機(jī)制在基于協(xié)議分析的原始數(shù)據(jù)過(guò)濾和基于