由于网络环境的复杂化和黑客攻击技术的多样化,单一的网络安全产品已经很难去应对如此多的入侵方式。因此人们特别是大中型网络的管理员常常采用多个安全产品同时工作以图达到防御所有攻击行为的目的。而由于各个安全产品的独立性,因此就会出现几个安全产品对同一攻击行为进行报警和一个安全产品对一个攻击行为多次报警现象,于是就产生了冗余的报警事件。论文以具体的省级科研项目为研究背景,研究目的就是对这些冗余的报警事件进行聚类与合并分析,消去重复的信息,这样经过处理后的数据就会很清晰地表明当前的网络状态,便于管理员对网络的运行态势有一个客观的全面认识,方便采取针对性的防范措施。同时也使进入关联模块进行深度关联的工作量大大减少,便于做关联分析。文章主要是针对基于主机检测的Ossec和基于网络检测的Snort产生的报警信息进行聚类与合并。通过对国内外主流的几种聚类方法进行研究比较,同时考虑到研究的实际背景,论文采用对Ossec以报警事件ID为入口,以报警的类别做为聚类的依据来对报警信息进行聚类与合并。而对Snort的报警信息则采取基于协议的方式来完成聚类和基于报警属性的相似度用时间倒序的方式来完成对冗余信息的合并,有力的支持了系统的实时性能。论文创新性的自定义规则完成了对Ossec和Snort映射与合并。实现了基于规则的智能化的对Snort报警信息的聚类存储,方便Snort报警数据所基于协议的扩充。此外还设计出了一个规范化格式的模型,可以存储其它产品的报警信息,易于扩展。最后文章通过用现实的网络器材搭建实验网络环境,利用聚类与合并效果测试,压力测试和整体性能测试三组实验来验证性能。实验的结果表明,该聚类与合并的方法能大幅度的压缩合并冗余信息,面对大量的报警数据时具有一定的抗压性。