论文分析了分布式入侵检测系统的体系结构和组件之间信息共享方式的演变,对CIDF(公共入侵检测框架)中的组件通信机制、IDXP(入侵检测交换协议)和现有分布式入侵检测系统的组件通信机制进行了研究。这些通信方案存在两个不足之处:一是对通信过程中的异构性问题未考虑或考虑不充分,这不便于异构网络环境下组件的集成;二是不支持信息查询,这不便于组件之间的协作检测。为了实现组件之间的协作,发送方必须把它的所有检测信息发送到接收方,否则接收方就有可能错过一些重要信息。一方面,接收方必须花费一定的资源来处理那些它不需要的信息,并且接收方有可能被这些信息所湮没而导致崩溃。另一方面,一部分网络带宽被用来传送不需要的信息导致资源浪费。 针对这两个问题,论文提出一个结合消息中间件技术和语义Web技术的解决方案。在语义Web技术方面,首先应用本体描述语言DAML+OIL定义面向入侵事件类型描述的本体,然后基于该本体的语义匹配和Agent交互一起提供入侵事件类型的发布、撤消和查询功能。在消息中间件技术方面,采用CORBA的通知服务作为底层消息传递机制,解决消息传递中的异构性问题并协助信息查询功能。论文给出了一个采用Agent开发环境JADE、语义Web开发工具Jena与DAMLJessKB、推理引擎Jess和实现通知服务标准的CORBA产品TAO的入侵检测消息协作中间件原型系统的实现方案,并描述了一个应用该原型系统进行分布式事件关联的实例。