近年来,计算机技术和互联网技术的迅猛发展,有力地推动了社会进步。计算机网络已经渗透至社会各个领域,成为人们工作和生活中必备的工具之一。然而与此同时,计算机网络的安全性也受到前所未有的威胁。因此,入侵检测系统(Intrusion Detection System)作为另一种重要的手段逐渐受到人们的重视。然而,入侵检测系统发展起步相对较晚,并且一直没有一个统一的行业标准。这严重制约了入侵检测系统的发展。就在同时,国际IETF组织的入侵检测工作组(IDWG)制定了一系列入侵检测相关的标准,并发布RFC文档。其中包括了入侵检测信息交换格式IDMEF(RFC4765)。IDMEF规定了入侵检测数据在表达和传输过程中的详细格式、数据类型定义方法以及各数据类型之间的依赖关系。至此,IDMEF成为我们可以依赖的数据表达和交换的标准格式。在入侵检测领域,Snort一直占有重要的地位。它是一个基于网络的开源的入侵检测系统。经过多年的发展,它的技术已经非常成熟。Snort一直拥有自己的数据表达和存储格式,本文目的是要实现将IDMEF应用到Snort,使得Snort能够实现符合标准的输出格式。Snort使用灵活的输出插件机制,本文的重点是开发一个基于IDMEF的输出插件,并且同时开发该插件依赖的库函数LibIDMEF。使得Snort通过这二者能实现输出符合RFC4765规定的数据交换格式。