随着互联网技术的飞速发展，网络环境也变得日益复杂，人们在享受互联网带来便利的同时，网络安全问题也逐渐成为了关注的热点。入侵检测系统是应对各种层出不穷的攻击手段的有效防御技术之一，它能够检测出当前的网络环境是否存在遭受攻击的痕迹，并根据入侵检测设备内部的协议产生相应的报警，进而便于网络管理员对网络实施防御措施。单一的入侵检测设备无法满足当前复杂多变的网络环境的需求，在实际的网络环境中，往往是多种不同类型入侵检测设备同时对网络环境进行检测。然而，这些入侵检测设备各自为政，相互之间不能协同工作，产生的报警数据存在多源、异构的特点，网络管理员难以从单个数据源产生的报警数据中发现攻击者的真正意图，从而无法对复杂多变的入侵行为构建较为全面的攻击场景。针对以上问题，论文研究多源报警数据的融合与关联分析方法，主要研究工作如下：
　　（1）面对目前不同类型的入侵检测系统产生的多源报警数据，其中包括基于主机的报警数据和基于网络的报警数据，采取层次划分的思想，并结合大数据并行处理技术，设计一种分层的多源报警并行融合与关联分析模型。该模型由数据采集层、数据预处理层、报警融合层和报警关联分析层组成。此外，在设计的模型基础上实现了原型系统，该系统可以很好地适应当前复杂的入侵检测环境，并且能对海量的多源、异构报警数据进行较好的融合与关联分析。
　　（2）由于现有的多源报警数据存在大量的冗余报警和相似报警，不能直接用于报警关联分析，提出一种基于模糊聚类的多源报警数据并行融合方法。该方法以模糊C均值算法为基础，并通过最大最小距离算法来选取初始聚类中心，同时为了提高计算效率，结合 MapReduce 编程模型对其进行并行化计算。实验结果表明，该方法能有效地去除重复报警，并且在提高系统检测率的同时，计算效率也得到提升。
　　（3）针对现有的报警关联分析方法不能全面地分析出报警之间内在逻辑关系，以至于构建的攻击场景不完整等问题。提出一种基于时间序列和 IP 地址的关联分析方法。该方法先采用启发式聚类的思想对报警数据进行场景划分，然后结合时间序列和IP 地址来将报警数据与已知场景进行关联匹配，最后结合关联结果画出攻击图并去除孤立报警。实验结果表明，该方法能对融合后的报警数据进行有效的关联分析，并构建出较全面的攻击场景，同时减少了孤立报警。