随着网络的普及率，网上应用的种类和重要性日益增加，保障计算机安全越来越重要也越来越具有挑战性。现在的各种静态安全技术，如防火墙、数据加密等都比较成熟了。但这还不能适应主动发现入侵，防止黑客攻击的需要。于是安全专家们提出了入侵检测的理论。作为动态安全技术的基础，它根据入侵的痕迹和规律发现入侵行为并做出适当的响应，是一种较主动的网络安全系统。 从入侵检测概念的提出到现在，安全专家提出了各种检测模型：比如在数据搜集上有基于网络的系统或者基于主机的系统；在分析方法上有误用检测或者异常检测；在检测时限上有实时系统或者事后系统等。但现代实际使用的各种检测系统存在有许多的缺点：可扩展性差；不能适应现代高速、加密、交换式网络环境的需要；分析引擎不完善；不能适应现代黑客攻击协作性，长期分步完成的特点；检测速度慢，检测成功滞后于攻击成功等等。 为克服以上缺点，本文采用了分布式系统的设计思路。相对于一体化的设计思路，分布式方法能将每一部分都可以设计得比较完善。系统分为数据收集代理、分析引擎和响应系统三个部分。代理的部署具有很强的灵活性，可以根据需要搜集网络数据和主机数据，能适应不同的平台。分析引擎采用专家系统和分析模版来共同完成，这就保障了系统高速和精确。响应系统也根据系统的需要设定各种响应手段。 本文首先较系统的介绍了入侵检测的定义、重要性和方法，然后系统地进行了分布式检测系统各功能模块的设计和测试，最后提出了今后研究的一些思路。在实际分布式检测系统的设计中，采用了一些新的技术手段，比如为消除数据报二义性而采用的网络流量规整；AC BM快速匹配算法；为验证系统完整性而采用的MD5数据摘要算法；升级检测系统知识库的动态方法等。由于系统设计中采用了较高抽象层次的状态转移分析，所以虽然是基于误用检测的技术，但系统在一定程度上仍然具有自动检测新的攻击手段的功能；为检测日益常用的组合、分步和多层入侵，系统采用了模版化攻击系列的方法；根据入侵行为具有规律的特点，模版化检测方法还有预测将要发生的入侵行为。为实现自动化的响应，本文采用了通过SNMP协议数据报去控制网络设备的方法。 在审计数据的处理上，本文采用了按照IETF的入侵分类，由代理将其形成事件对象的方法。在分析引擎处，事件对象流结合当前状态触发专家系统。