随着互联网的日益开放以及网络技术的飞速发展,伴随而来的网络攻击行为也愈来愈严重,安全问题也越来越受到人们的重视。传统的各种安全防御体系,如防火墙、入侵检测虽然都比较成熟,但是,由于存在着某些缺陷,仍然不能完全解决当前的网络安全状况。特别是分布式、协同式、复杂模式攻击的出现和发展,传统的单一的、缺乏协作的安全防御体系已经不能满足网络安全需求。当前的安全防御体系需要有充分的协作机制。 论文以分布式入侵检测模型AAFID和EMERALD为基础,提出了一个基于协作的分布式防御系统模型。模型由监控器、收发器和负责具体安全任务的代理三种组件构成。模型改革了传统的分布式防御模型中数据分析单元采用的层次结构,在安全代理内部设置了协作分析处理单元,实现了数据分析的分布式,有效解决了传统模型的单点失败问题。模型采用监控器、代理同时承担协作分析的机制,实现了系统协作分析的负载均衡。模型采用Agent技术,具有很好的扩充性,可以包含各种不同的安全代理,如防火墙代理,各种入侵检测代理。各种不同的代理以协作的方式一起工作。 论文详细阐述了该模型的体系结构,对代理和监控器的功能、特点和实现方法进行了说明,并详细设计了代理的控制器和监控器的功能模块。 论文重点讨论了模型的协作问题,详细阐述了基于事件的协作机制,设计了基于规则的协作实现方法。论文对IDWG制定的IDMEF进行了扩充和修改,设计了符合协作要求的消息机制。最后论文分析了协作的通信机制,设计了Unix系统下模型的通信实现方法。