随着计算机和网络技术的快速发展,网络安全也越来越受到人们的重视。日益复杂的网络结构,广泛采用的分布式应用环境,都使得现有的集中式的安全预警系统难以从增长迅速的海量报警信息中提取出有用的报警信息,从而无法实时,准确的提供预警功能,延误了应急相应的最佳时机。这就迫切需要对报警信息进行精简,消除误报,对报警进行关联,从一个更高层面上对网络攻击进行报警。基于这样的需求,本文研究了基于入侵检测系统的分布式网络安全预警。首先本文介绍了安全预警的背景和意义,对目前主要的安全预警的方法进行了综述,阐述了数据挖掘方法对安全预警的重要作用。接着,本文介绍了关联规则挖掘和序列挖掘的基本概念和一些常用算法。然后,本文研究了传统的入侵检测系统,指出传统IDS存在的无法记录攻击频度,状态等固有缺陷。针对这些缺陷,本文对报警信息做了下面改进:本文提出了使用聚焦识别算法分析报警频度高的dos攻击,蠕虫攻击等。为了发现复合攻击,提出使用增量序列挖掘GCcispan算法分析报警信息,实验表明GCcispan算法能很好地发现复合攻击,并且具有较好的可扩展性,对动态增长的日志也能很好处理。针对IDS报警信息存在的大量误报,本文提出采用元规则制导的闭合关联挖掘算法CHARM在没有攻击的干净日志下,挖掘正常模式,建立误报模式数据库,对误报进行过滤。最后,本文介绍了一种评测网络攻击威胁的标准,评估攻击所带来的危害程度,并介绍了如何综合各个局部预警所得的关联信息,生成全局攻击场景视图,以定位攻击源。