该文作者通过对多个IDS系统的特征进行比较研究,提出了一个突出升级性和扩充性的分布式入侵检测系统（DIDS）模型.模型将整个入侵检测系统视为三个抽象的组成部分：探测部分、分析部分和响应部分.模型在具体建立时,将探测部分和响应部分在代理中实现,而分析和管理部分在系统控制中心中实现.为了使代理和系统控制中心能够动态加入,模型设计了一个简单的通信协议.系统在设计检测部分时,采用了两种目前较为流行的检测模式：Misuse模式和Anomaly模式.在Misuse模式中,系统设计了端口扫描、嗅探器和IP地址期骗三种检测代理.对于Anomaly模式,系统将它分成两种类型进行设计,一种是基于协议栈协议包头的协议异常探测,另一种是基于应用层协议的协议内容探测.在第一种Anomaly类型中,该系统仅对IP和TCP协议包头进行分析,而对第二种Anomaly类型,系统考虑了FTP、Ident、Finger三种协议的异常检测.接着论文讨论了如何保护IDS系统自身.在这一部分中,讨论了三种常见的针对IDS自身的攻击类型：过载攻击、破坏攻击和欺骗攻击,并且分析了该系统是如何防御这三类攻击.最后,论文给出了系统目前还没有实现的一些特性和将来需要进一步研究的方向.