作者在通用入侵检测框架(CIDF)的基础上,建立了一种新的网络入侵检测系统模型,即基于分布式代理的网络入侵检测系统(DA-NIDS)来解决以上问题.该系统主要由探测代理、分析代理、存储代理、响应代理、控制中心等几部分组成.分析代理是CIDF的核心部分,也是DA-NIDS的核心部分.在对入侵检测系统中的分析部件进行深入研究后,实现了一种能融合多种检测理论的、以配置信息为中心的分析代理,而且还对如何提高分析代理的检测速度和检测效率作了重点研究.不仅提出了用于描述入侵事件的层次通用入侵描述语言,并在此基础上对检测规则进行了优化处理,大大提高了分析的检测效率;另外采用基于协议分析和改进过的字符串匹配算法,减少了查找规则和字符串匹配的时间.在综合地研究、分析了目前的各种检测理论的基础上,提出了针对TCP协议状态检测的新方法,即状态转换检测.最后在模拟系统中实现了模式匹配、异常统计和协议状态检测三种检测理论,并对其实用性和优缺点作出了详尽的分析;对检测的效率和准确性作出了合理论证.论述了提高分析的效率、采用分布式的检测构架、综合运用多种检测理论、加强各种检测理论之间的互相校验与协作是降低漏报和误报的关键,也是今后入侵检测系统的发展方向.