分布式网络安全系统中安全实施节点的增多会带来安全系统可管理性的下降,各个安全节点安全策略的自主控制会增加相互冲突的可能性,单一管理台将会成为系统中的瓶颈与单一失效点。同时,现有入侵检测系统面对高速网络流量,其较低的检测效率与较高的误警率无法保证检测入侵的成功率。针对上述问题,在协同入侵防御系统CIPS(Cooperative Intrusion Prevention System)中采用了一种树型层次管理模型THMM(Tree-like Hierarchical Management Model)用以管理分散在受保护网络内部各个节点上的微安全系统MSS(Mrico Security System);并引入了基于协议流分析PFA(Protocol Flow Analysis)的入侵检测技术,以提高入侵检测的效率与检测率。在THMM模型中,CIPS保护的网络从逻辑上被划分为多个域,域内各节点运行微安全系统MSS,每个域设置一个安全管理台SA(Security Administrator),通过SA的交互完成树型层次模型构架,实现分域管理;THMM的运行采用自主认证机制,验证管理域内节点的身份,避免恶意用户破坏造成保护节点脱离安全管理域,提高了系统的安全性;采用动态入侵响应机制,可以实时处理本域内发生的入侵行为,并能将入侵行为根据响应策略动态发布,通知域内与域间的其它节点,避免同类入侵造成更大的破坏。在PFA-IDS(Protocol Flow Analysis-Intrusion Detection System)中,通过网络抓包模块完成对网络数据流的采集,为进行入侵分析提供数据源;通过配置检测规则列表,生成基于模式匹配的入侵检测规则库;通过数据包常规分析,处理网络层与传输层的数据包,检测网络层与传输层入侵行为;基于协议流分析处理应用层协议数据,在分析网络流量特点的前提下,以HTTP协议流分析为例实现了PFA-IDS,检测应用层的攻击行为;最后通过日志报警输出向控制台报告入侵信息,由控制台采取响应措施并进行关联分析,以便检测出协同入侵行为。