随着网络技术的快速发展,保证网络的安全也显得越来越重要。入侵检测系统通过收集和分析系统日志或者网络数据来检查系统或网络中是否存在违反安全策略的行为和被攻击的迹象。入侵检测系统提供了对系统和网络的实时保护,是安全防御体系中必不可少的一个组成部份。本文首先介绍了入侵检测的一些相关概念和入侵检测技术的发展趋势,并对分布式入侵检测系统的一些不同的体系结构进行了分析,然后对开源入侵检测项目Snort-2.8.0.1进行源代码分析,重点分析Snort的初始化过程,Snort的插件机制,检测报警过程,告警日志过程,Snort规则引擎及快速匹配引擎部分的源代码。在此基础上,设计并实现了一个基于Snort的分布式入侵检测系统。即在Snort-2.8.0.1的基础上,添加了规则生成模块,多播传递模块和动态添加规则模块。规则生成模块对事先从攻击主机收集到的攻击包,运用apriori算法进行分析,找出这些攻击包的相同特征,并转换成相应的Snort规则。多播模块将生成的规则以多播的方式传递给其他的Snort进程,当这些主机上的多播接收端接收到规则信息后,就将该规则放到消息队列中。动态添加规则模块从消息队列中读取到该规则,进行解析及规则冲突检查后,如果不存在冲突就动态添加到Snort的规则引擎中,使它们也能检测这种攻击。最后,本文对该分布式入侵检测系统进行了测试与验证,针对3种攻击工具分别生成相应的规则,并通过多播的方式传递给其他的Snort。通过实验证明了在该系统中各个Snort进程之间相互协作的实时性和有效性。同时也通过多次的比较实验,验证了多播传递规则的方式比用单播的方式传递效率高。