目前的网络环境需要从不同子网收集入侵信息,并从中检测出入侵程度。在这种情况下,分布式入侵检测系统应运而生。然而,传统的网络入侵检测系统因为存在单点瓶颈问题,在面对大规模网络环境时有很大的局限性。P2P技术能从本质上消除单点瓶颈问题。因此,将P2P技术引入到大规模入侵检测中,具有重要的意义。随着网络攻击数目不断上升,攻击技术日新月异,被动防御措施如防火墙、加密技术等已经不能保障网络安全。主动入侵检测技术能在网络受到严重破坏前,对网络进行安全防御。一个主动入侵检测系统的好坏,决定性因素是它的入侵检测方法。现有的入侵检测产品大都是基于已知的入侵进行检测,对未知的入侵行为无可奈何,因此存在很高的漏报率。RBF神经网络有着全局逼近、收敛速度快等优点。将RBF神经网络应用到入侵检测中来,可以检测出未知的入侵行为,从而最大限度地降低入侵检测的漏报率。本文将从两个方面展开研究:分布式入侵检测在大规模网络下的结构体系、入侵检测方法研究。首先,文章将延用课题组前期成果,利用SP2P技术完成分布式入侵检测系统网络模型的搭建。按照地理位置,对网络进行区域划分,按照节点能力推选出区域的融合中心节点,使信息的处理局部化。文章将用一组开放源码的P2P通信协议JXTA实现IDS之间的通讯。将JXTA协议中的对等组相比于网络中的区域,对等点相对于各个IDS。利用JXTA中对等组的创建、节点加入、退出等节点操作,实现现实网络中IDS加入域、退出域的操作。利用JXTA提供的广播、管道机制实现各IDS之间报警数据的共享。其次,将RBF神经网络与Snort入侵检测相结合,通过RBF神经网络发现未知入侵行为,然后发现新规则,丰富snort规则库。文章采用K-Means算法确定RBF隐层中心。并针对K-Means算法对初始聚类中心敏感、噪音数据和孤立点易降低聚类结果准确性等因素,提出了一种基于减聚类的K-Means算法。通过实验证明,改进过的神经网络具有较好的入侵检测功能。