入侵检测是对入侵攻击行为的检测,它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。因此,入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,大大提高了网络系统的安全性。本文在分析了当前网络安全现状、技术和未来发展趋势后,重点研究了入侵检测系统Snort,在详细阅读其源代码及主要函数后,拓展讨论了该系统在对等网模式下的工作方式。之后提出了在优化策略并设计了协同入侵检测模块,实现在对等网络工作模式下的协同检测和工作的功能。文章在研究已有对等网IDS模型的基础下,针对单点IDS在协同工作方面的若干不足,提出了相应的策略来优化系统性能。并在详细研究开源软件Snort系统的整体结构下及源代码和规则库的基础上,在WINXP环境下建立了基于单机模式下的Snort IDS实例及在网络模式(NIDS)下的IDS实例,最后将设计的协同入侵检测模块添加在构建的实例上,并在各个对等网IDS之间实现协同检测入侵和交换入侵子集(workload)的功能。