信息技术的发展直接推动了安全工具的发展。从早期的杀毒软件到后来的防火墙再到现在的入侵检测系统,人们使用的信息安全工具越来越具有主动性和智能性。当前,入侵检测系统已经成为安全防卫体系中的一个重要环节。然而目前入侵检测的研究重点集中于选择合适的数据源和数据属性、发现新的检测算法或改进现有检测算法、改进入侵检测系统的构架和扩大检测范围等方法来提高检测精度、降低误报率和漏报率等环节上,从而导致系统管理员负担过重,难以有效处理海量警报的现象。过多的误报和无关警报“淹没了”真正的攻击警报,影响入侵响应的效率和成功率,因此人们需要从新的角度来设计和实现入侵检测系统。本论文选题以应对这些挑战为出发点,试图在理清当前入侵检测问题的基础上,以多重协同机制为中心开展协同式入侵检测系统、入侵警报关联和响应追踪等问题的研究。本文试图在以下方面做一些研究:(1)分析现有的协同入侵检测模型和与之相关的技术,全面系统地阐述现有警报关联和响应追踪技术的研究进展情况,讨论当前相关技术存在的问题,引出研究协同式后入侵检测模型的必要性。(2)在分析已有入侵检测模型基础上,结合移动Agent的特点和协同机制,提出了一个基于移动Agent的协同式入侵检测系统(CooperativeIntrusion Detection System based on Mobile Agents,Co-MAIDS)框架。该系统框架在体系结构上具有防止单点失效的功能,可以避免大量数据移动带来的网络负载压力,并且能在不影响其他模块的情况下对系统模块进行增减。彼此独立的移动Agent通过相互通信协作完成复杂任务,实现系统的智能化运行。多重协同机制保证系统模块之间交互过程中的有序性,加强系统各模块的整体合作性能。(3)从揭示警报信息背后隐藏的攻击策略角度出发,提出了一种基于移动Agent的警报混合关联处理方法。该方法以二维时间和空间为轴线,将当前警报与同一时间段内发生的警报、警报前后期所发生的警报进行关联。警报关联处理采用谓词公式来表示警报前提和后果。通过对谓词公式的分解,实现不同警报之间的前提和后果进行匹配的目的,进而将警报进行关联。(4)在警报混合关联的基础上,提出了一个基于移动Agent的追踪响应策略。该策略以警报关联信息为输入,对警报信息实施了警报验证、置信度学习等警报预处理过程,并在此基础上提取有效数据包信息,依据与包标记过程相反的机理对攻击数据包的攻击路径进行追踪,实现对攻击路径的重构。(5)在以上研究内容的基础上,提出了Co-MAIDS多重协同机制的集成策略。以通信协同、警报关联协同、警报关联与入侵响应协同和入侵响应协同为核心内容,该策略整合并集成Co-MAIDS的多重协同机制。四类协同为信息、警报和响应之间架起了沟通的桥梁,确保实现系统交互的有序性和整体性。