在当今的社会中,互联网通过将信息共享给我们的生产和生活带来了极大的便利,但随着它的普及和开放其自身的安全问题也日益严重。使用有效的入侵检测就成了保证信息系统安全的一种重要手段。入侵检测作为一种积极的主动的动态安全措施,能够在网络安全的多层次防御和立体纵深的角度上,在网络系统受到破坏之前对外部攻击行为或内部非授权行为进行检测。但是传统的入侵检测系统存在如下问题:(1)它通常关注和发现低层次的告警和异常,发出孤立的告警信息,而不能发现其中的逻辑关联和入侵攻击策略。(2)会产生大量的误告警,并混合在真实告警之中,不能区分。为了解决上述问题,首先,本文采用本体技术构建入侵报警知识库,结合了基于攻击序列模板的关联和基于攻击发生的前提后果的这两种关联技术,构建了包含基本概念和关系的攻击知识框架,定义了4层17个基本类和多个对象属性和数据属性,使用本体工具RacerPro1.90和程序进行关联推理并用实验进行了验证。然后,本文提出了一个分布式的基于自治代理通信机制的混合入侵检测模型,综合了基于主机和基于网络的入侵检测系统的优势,对初始报警信息依据报警知识库进行入侵报警关联,消除误报和识别漏报从而确认真正攻击方法和行为,发掘协同的高层次的报警信息。本系统采用适用于分布式环境的基于自治代理的通信机制,采用订阅的思想并与树形结构相结合达到实时高效传播报警信息和响应动作的目的。最后,对上述模型进行了仿真实验,说明本文的入侵检测报警模型及其构建方法是合理而且有效的。