随着网络技术的普及,计算机的安全问题变得越来越严重.入侵检测系统能够监视对计算机系统的非法访问,误用和滥用,确保计算机应用系统的安全.在我们所设计的上海捷玛流通EDI系统中,如何利用IDS(入侵检测系统)来保护正常的网络服务运行,促使我们开展了该课题的研究.目前,市场上有上千种的入侵检测系统供用户选择,但是黑客活动日益频繁,攻击手段越来越隐蔽、多样化、复杂化,仅仅依靠一种工具很难应付,而多个入侵检测系统的协作则可以大大提高系统的整体安全性.本文首先介绍了现有协作入侵技术,包括DARPA的CIDF(通用入侵检测框架),IDWG(入侵检测工作组,隶属IETF组织)的IDMEF(入侵检测消息交换格式).通过对这些技术特点的对比,提出了一个基于XML的协作式入侵检测系统架构.采用XML作为入侵警报信息表达语言,制定了通用的标准入侵交换格式.以该标准为核心,建立了从单一主机到internet范围的安全体系架构.在设计部分,分三个层次详细描述了该安全体系的结构,各个部分的功能,以及系统运作的过程.为了验证设计的可行性和正确性,在设计的基础上,实现了一个原型系统.该原型在linux操作系统下实现,利用snort入侵检测系统作为探测器和分析器,加入XML插件使其支持标准入侵交换格式,利用PHP和MYSQL建立了一个网页式的管理器.通过配置,远程的管理器可以接收分析器传输过来的XML警报信息,同时应用XSL文档显示格式,在网页上以友好的界面显示.通过测试,本文所实现的原型系统运行正常,远程的管理器可以及时响应分析器传输过来的XML警报消息,管理员据此可以及时修改系统的安全配置.实践表明,基于XML的协作入侵检测可以更加有效地利用现有的入侵检测技术,对来自不同分析器的入侵信息综合分析,减少入侵检测中的误报和漏报现象,使管理员可以采取有效的响应动作.