入侵检测系统(IDS)已成为网络安全防御体系中的重要组成部分。然而,目前大规模网IDS会实时产生大量琐碎的警报数据,其中普遍存在着冗余的、不正确的警报。这些数量大、质量低的警报使安全管理者不堪重负,很难对它们进行有效分析和处理,对攻击做出及时地响应。　　 为解决上述问题,本论文在较全面地分析目前警报关联技术优缺点的基础上,结合大规模网IDS警报数据的特点,开展了大规模网IDS警报关联与预警的研究。本文的主要工作和创新点如下:　　 (1)针对现有警报聚合方法不够准确的问题,提出一种基于多特征的警报聚合关联方法。通过综合考虑冗余警报在类型、空间和时间方面具有的关联特征,本文全面刻画了警报间的冗余关系。特别是在时间关联特征的选择上,采用了相对均方差模型,能更好地适应不同的攻击速度。本文还从计算相对均方差、聚合规则搜索和简单攻击状态搜索等三个方面对关联算法的实现进行了优化。实验结果表明,该方法能够提高警报聚合的准确性。　　 (2)为减少警报中的误报,本文从三个方面进行了研究。　　 首先,为处理大规模网IDS警报中存在的大量出现并具有一定规律的误报,提出了一种基于频繁模式挖掘的误报过滤方法。实验结果表明,该方法能够有效减少误报,克服了其他方法需要先验知识的不足,具有简单、易于实现的优点。　　 对于没有规律的误报,构建警报分类模型是一种识别误报的有效途径,但目前的警报分类模型均基于有监督的学习,需要大量难以获得的带类标的警报训练数据。针对这一不足,提出一种基于半监督学习的警报分类方法,能够充分利用大量易于获取的无类标警报数据,提高了分类模型的实用性。在选择用于构建分类模型的特征时,引入了警报的上下文特征,提高了分类模型的准确度。　　 为处理来自多个IDS的警报,提出一种基于可信度的警报融合方法。目前大部分警报关联技术仅考虑了警报之间的内在联系,没有考虑各IDS报告警报的可信度不同。本文利用D-S证据理论来综合各IDS警报的可信度,以消除警报中的不可靠性和含糊性。实验结果表明,该方法能有效降低误报率,提高警报质量。　　 (3)针对目前的多步关联方法需要复杂关联规则,难以实施的问题,提出一种基于警报序列聚类发现多步攻击模式的方法。该方法在综合考虑多步攻击的时间、空间和类型特征的基础上,首先构建出攻击活动序列集。然后采用序列比对技术定义活动序列间的距离,并将相似的攻击活动序列进行聚类。最后将多步攻击模式发现转化为在聚好的类中抽取公共子序列的问题。实验结果表明,该方法能有效地识别警报中的多步攻击模式。由于不需要复杂的关联规则,设置参数少,因此具有较好的实用性。　　 (4)面向大规模网的预警,本文将警报宏观分析与异常检测相结合,提出了一种基于时间序列分析理论的IDS警报数据宏观分析方法。该方法利用警报数据的自相似性来建立警报数据的时间序列模型,并通过该模型和警报数在宏观上的关系对网络中出现的大规模攻击,像DDoS和蠕虫等,进行预警。与基于流量异常的预警方法相比,准确性更高。通过实验与结果分析,证明了该方法的有效性。