入侵检测已经成为网络及信息安全领域一个重要环节,而告警信息聚合技术也成为入侵检测系统中一个必不可少的组成部分。随着网络规模和传输速度的不断增大,海量的网络流量对入侵检测系统以及告警信息处理技术的实时性和数据处理能力提出了挑战。通常,在海量待处理数据中,异常数据很少,这小部分异常数据会被大量的正常数据淹没,影响入侵检测系统的检测性能。系统资源会被大量的正常数据占用,同时也造成了重复性或不完善告警数量的大量增加。大量的虚假及冗余告警不仅无法反映系统和网络的实际情况,还超出了管理员的处理能力,最终可能导致系统或网络的瘫痪。本文针对海量待检测数据中异常数据通常被大量正常数据淹没的问题,以及如何减少大量虚假及冗余告警问题,提出了两种解决方法。针对在海量的待处理数据中正常数据占绝对优势,占用系统大部分资源,影响检测性能的问题,提出了一种基于半监督学习策略的数据过滤方法,去除数据集中的部分正常数据(即冗余数据)。使正常数据与异常数据相对比较平衡,提高检测系统的实时性及减少误告警的效果。针对如何减少虚假及冗余告警的问题,提出了一种基于告警属性相似度的密度最大值的方法。消减海量告警信息中的虚假及冗余告警信息,减轻系统及管理员的工作负担,增强系统的实时性与可用性。