该文在入侵管理系统的体系结构、攻击分类、检测技术、入侵告警的管理技术以及主动响应及互动协议方面开展了系统、深入和较全面的研究,主要包括:◆分布式入侵检测系统的协调方式和智能管理技术 文中对DARPA提出的公共入侵检测框架CIDF(Common Intrusion Detection Framework)在分布式方面进行了改进和扩展,首次提出并增加了分布式入侵检测系统的协调模块和管理模块的任务分派功能,并在此基础上提出三个新视点VoA、VoC、VoM,并从这三个视点出发对国内外著名的DIDS进行深入剖析和分类,对它们各自的特性及优缺点进行了比较,并提出一种"分布采集、动态协调、智能管理"的体系结构参考模型.◆基于静态Agent和移动Agent相结合的入侵管理系统及其体系结构 通过分析分布式入侵的特点,提出了分布式入侵管理系统的发展趋势及应具备的技术特征.◆基于Cause、Consequence和Correlation的"3C"攻击分类法 文中提出一种"以检测为目的"的"3C攻击分类法".并且为了解决目前分类法中扩展性比较差,对新出现的攻击容纳性不好的问题,文中选择RDF作为"3C"的网络攻击分类结果的描述方法,这种根据RDF得到的XML描述符合IDMEF标准,完全可以作为安全部件和代理之间消息交换的标准语言,这种格式的交换消息可直接应用于分布式入侵管理系统.◆改进Apriori算法,实现基于用户生物特征的异常检测 在分析两种基于击键韵律的生物测定模型:Rick Joyce模型以及PR-RP间隔模型的基础上,提出采用数据挖掘的方法实现基于生物特征的异常检测的思想.并对Rakesh Agrawal和Ramakrishnan Skrikant提出的经典关联规则挖掘算法进行了深入分析.◆基于"过滤→关联→聚类→合并"的入侵管理机制和相关算法 该文在分析了产生大量无用告警的原因的基础上,提出一种基于"过滤→关联→聚类→合并"告警融合处理机制的入侵管理技术,根据告警事件的多维特征,提出一种基于知识库的动态过滤技术,并提供了一种基于资产评估的最小风险贝叶斯决策的动态过滤技术,然后对SRI International的Valdes提出的基于概率的告警相似度的方法进行了改进,提出一种基于概率的告警聚类算法以及基于谓词逻辑的合并技术.◆分层次细粒度的联动模型和改进的IDXP协议 该文分析入侵响应技术面临的问题及研究现状,阐述了基于"多层次安全防护策略思想"和Steven Bellovin提出的分布式防火墙技术,在此基础上,提出一种基于Agent的分层次细粒度的联动模型;然后分析了安全部件之间的通信需求,并对IDXP互动协议进行了研究,将其进行扩展,使之满足安全部件之间的通信要求.