入侵检测是当前网络安全研究领域的热点,但现有的入侵检测方法大部分没有分析入侵行为中一系列事件之间的相关性,所以存在误报率高、检测滞后等问题.为了降低入侵检测系统的误报率,在分布式入侵检测系统DIDS中专门设计了一个基于入侵模式的事件分析器.在充分分析现有各种入侵手段的基础之上发现,入侵过程主要可分成入侵前的信息收集、入侵和入侵成功后的现场处理三个阶段.每种入侵方法的各个阶段都有其特征,将其特征抽取出来就可形成相应的入侵模式.给出了入侵模式设计的基本原则、描述方式以及入侵模式一般应包括的元素,并设计了若干典型的入侵模式.给出了一次入侵的定义并讨论了它的关键属性对事件分析器的分析结果可能造成的影响,提出了事件分析器的设计要求和数据源要求.然后,基于入侵模式设计了事件分析器的框架,给出了相应的算法,并描述了事件分析器与DIDS其它组件的通信机制.事件分析器的实现主要包括数据库设计和事件分析算法的实现.数据库设计包括入侵模式数据库、新事件数据库和分析结果数据库三部分.实验结果表明,与现有的入侵检测系统相比,集成了事件分析器的DIDS可以在检出率相差不大的情况下明显地降低系统的误报率.