该文的主要研究内容和成果如下:1.提出了一种基于警报数据的异常检测方法.在大规模网络环境中,入侵检测系统得到的警报数据本身具有一定的规律.因此,采用基于警报攻击强度的统计检测方法,能够有效判断出网络中出现的大规模攻击行为的异常情况.但常用的简单统计方法存在三个问题:单一统计值的有效性问题、原始统计值的变化敏感问题和样本空间的时间效应问题.该文使用加权统计值代替单一统计值,解决了有效性问题;采用基于于指数加权平滑法计算统计值,解决了原始原始统计值的变化敏感度问题;采用分类的样本空间和贝叶斯动态预测方法,解决了样本空间的时间效应问题.与基于警报类型特征的异常检测方法相比,该方法的统计数据容易获取,计算量小,适应性强.实验数据分析表明,该方法对于大规模入侵行为具有很好的检测效果.2.提出了警报数据的处理层次模型和处理方法.根据警报数据在实际应用中所处的位置和语义层次,提出了警报数据的层次分析模型,研究了各层次的处理方法.引入了自适应实时性参数,提出和实现了具有实时性控制的警报归约算法,有效缩减了检测单元产生的大量重复的原始警报;提出了基于文本聚类的警报融合方法,在不需要先验知识的情况下,能有效融合重复和相似的同类警报数据;提出了基于朴素贝叶斯分类的警报相关分析方法,并采用关联规则挖掘和典型模式改进该算法,识别关联警报数据已知的和未知的入侵过程.相关实验表明,上述的警报数据分析模型和处理算法,与相关的其它方法相比,在降低警报数据量,精炼警报分析结果,提供高层威胁分析等方面具有较好的实用效果.3.提出了基于警报数据的网络预警概念和技术.对于按照攻击计划实施的攻击行为,采用基于攻击过程识别的预警推断方法,推断当前入侵动作序列最可能的发展趋势和结果,从而对可能发生的入侵行为进行预测.对于大规模网络中可扩散的入侵行为的预测,采用基于数据融合的局部发现、监测邻域、全局预警的思想,结合分布的警报数据、网络状态和安全目标等多元信息,推断入侵可能的传播范围和途径.实例分析和基本验证实验表明,该方法对于有计划的攻击过程和可扩散的攻击行为等威胁性较大的入侵方式具有一定的预警能力,进一步扩展了入侵检测系统单一检测和被动响应的设计思想.4.分析和研究了大规模入侵检测系统的体系结构、数据标准和安全通信模型等基础技术.通过分析典型结构和部件关系,提出了适合大规模网络环境的、功能分层和树型扩展相结合的入侵检测体系结构.通过增加控制命令和响应消息格式,提出扩展的IDMEF数据标准.采用分层独立设计的安全协议,提出并设计了适应大规模网络环境应用特点的安全通信模型.5.提出了可扩展的入侵检测系统的整体框架与原型系统,在基础平台上设计和实现了通信模块、警报数据异常分析模块、警报数据简约模块、预擎生成模块和追踪模块等核心模块.可扩展的入侵检测框架和核心模块的设计,重点实现和验证了前述的基于警报数据的分析处理技术,为进一步的研究提供了必要的实验平台.综上的述,该文针对大规模网络环境下的入侵检测系统的应用特点,重点研究了基于警报数据的宏观异常发现、数据约简和关联、网络入侵预警、大规模入侵检测系统的体系结构和数据标准等技术,设计开发了可扩展的入侵检测系统模型架和原型系统.大规模网络环境下的入侵检测技术还有许多问题值得探讨,该文的工作只是一个探索,还有待今后进一步的深入研究.