该文针对分布式入侵检测与响应协作模型、报警关联与分析算法、网络入侵检测方法和数据库系统的入侵检测四个重要问题,结合XML技术、数据挖掘和计算机免疫学技术进行了研究.该文利用XML在数据表示方面的优势以及平台无关性,提出了一个基于XML消息交换的分布式入侵检测与响应协作模型.在该模型中,设计了协作代理,负责对来自于各入侵检测代理的检测结果进行关联分析,并结合从其他域的协作代理收到的报警消息来检测复杂的入侵行为.扩展了IDMEF消息交换格式,使用XML文档来表示各入侵检测部件间交换的消息,协作代理间通过XML消息交换来实现协作.这些XML文档由系统定义的Schema来约束.提出了怀疑度的概念,将发现的所有可疑的和入侵行为都报告给监控部件,以便及时进行隔离和监控.该文先提出了一个基于CLOSET频繁闭模式挖掘的报警关联与分析算法,然后又加以改进,按照一个最小怀疑度和最小支持度对报警消息进行预处理,然后使用修改的频繁闭模式挖掘算法,对报警信息进行挖掘,得到频繁闭模式序列.我们的算法不仅速度快,而且结合了入侵容忍的思想,更有利于对系统的保护.该文研究了基于免疫的入侵检测方法,提出了一种新的有效检测器生成算法,可以使用较少的有效检测器检测网络中的异常行为.通过与已有的有效检测器生成算法进行比较,使用该文的方法构造的入侵检测系统速度更快,且有较高的准确性.