互联网经过近20多年的迅速发展，使当今的信息技术有了长足的进步，网络安全也成为日益关注的重大问题。入侵检测技术是近年来迅速发展起来的一种系统安全技术，它通过监控网络内部的各种行为以及网络通信包等方式来检测和识别针对计算机和网络的恶意企图和行为，分布式的入侵检测更为管理员提供了在大型复杂网络环境下监控网络安全态势的工具。但目前入侵检测系统只能检测出一般的简单攻击，对于复杂的攻击行为无能为力，更是无法发现攻击者的攻击策略。如何准确有效地检测分布式网络环境下多源可疑的入侵检测事件，并能进行关联分析和判定是入侵检测的核心问题。 本文通过对目前分布式IDS告警事件关联分析技术研究的基础上，通过对IDS告警事件进行事件过滤和事件规约的告警预关联技术并结合因果关联这种深度关联分析技术，实现了对分布式IDS事件中复杂攻击行为的关联分析和判定；并采用有向图的方式，实现对关联分析结果可视化输出。最终设计和实现了一个针对分布式多源IDS系统的告警关联分析系统。 本系统的特点在于：在预关联部分，通过采用面向分布式多源IDS告警事件的实时事件过滤算法，完成对冗余告警事件的规约；在深度关联分析中，对因果关联分析技术中采用了关联谓词的概念，并设计了一个基于因果关系的知识库，实现了基于因果关系的深度关联分析；为关联结果提供了具有良好的直观性的可视化关联图输出。测试结果表明，系统通过告警事件的预关联能够有效降低事件的冗余度，在深度关联中能够对事件中复杂攻击行为进行识别，并拥有良好的关联效率和准确性。