入侵检测通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。作为一种新型的网络安全技术,它弥补了防火墙和其他安全防护手段的不足,提供了对入侵事件的实时检测。随着网络攻击手段逐步向分布式方向发展,且采用了多种数据处理技术,其破坏性和隐蔽性也越来越强。相应地,入侵检测系统也在向分布式方向发展。在分析了CIDF体系结构的基础上,构建了一个基于代理的分布式网络入侵检测系统AD-NIDS。该系统由检测代理、中心分析器、响应代理、存储代理和控制中心构成。事件分析器是CIDF体系结构中的核心部分,在AD-NIDS中由检测代理和中心分析器两部分组成。该系统具有良好的分布性能和可扩展性,并提供集成化的报告和响应功能,简化了系统管理员的工作。AD-NIDS所使用的入侵规则由规则头和规则选项两部分构成。在检测代理的实现上,使用了协议分析和模式匹配相结合的方法,有效地减小了目标的匹配范围,提高了检测速度。为了检测各种跨越网络的分布式攻击(比如IP欺骗,分布式扫描等),在AD-NIDS中特地引入了中心分析器这个协同分析组件。它从整个网络的高度来看待黑客的入侵,其检测数据来源于各个检测代理得出的可疑分析结果。同时,为了避免一个中心分析器失效后,系统就处于半瘫痪状态的问题,系统中配备了几个空闲的中心分析器,它们通过自举算法来竞争成为新的协同分析器。