在当今高速发展的网络环境中,单独使用静态安全机制已不能适应需求.人们提出了动态安全的思想,入侵检测是动态安全思想中的重要技术之一.在分布式应用环境中,需要加强对入侵检测系统体系结构的研究,而不仅仅是检测方法. 建立了一种基于代理的分布式入侵检测模型(ADIDM),它是在参照了通用入侵检测框架(CIDF),对已有的几种分布式入侵检测模型进行分析的基础上提出来的.ADIDM中入侵检测系统由多个不同层次的入侵检测部件组成,这些入侵检测部件由检测代理、控制代理、通信代理等软件代理组成.每个独立的入侵检测部件既可以独立使用,也可以组合起来成为一个功能更强的入侵检测系统.ADIDM中有两种入侵检测部件:基本检测部件(EDP)和综合检测部件(SDP),EDP的检测数据直接来自于主机或网络,SDP的检测数据是从EDP直接数据中提取出来的间接数据.SDP采取数据融合技术,主要防止分布式攻击.SDP中的控制代理将这些检测部件组合起来,它采用LDAP目录访问技术存储相关检测点信息,LDAP具有根高的鲁棒性和可裁剪性,适合于多种类型数据的分布式存放.ADIDM中通信代理采用通用入侵检测对象(GIDO)来表示检测消息,以适应不同应用平台或操作系统.通信代理还实现了代理之间的身份认证、传输加密和数据完整性保护,保证入侵检测系统自身的安全.