该文简单介绍了入侵检测系统的概念和分类,随之给出了一款基于网络的分布式入侵检测系统的模型与实现.系统采用实时、在线、误用检测技术,使用原始的网络分组数据作为进行分析的数据源,利用简单、可扩充的入侵规则与入侵行为进行匹配,发现攻击行为则立即将入侵信息提交入侵数据库,按攻击级别触发相应的报警响应机制.系统在Windows2000环境下TCP/IP网络环境中设计实现,以Microsoft SQL Server2000为数据库服务器,Microsoft VC++6.0是主要的开发工具.基于网络的分布式入侵检测系统由分布在各用户网段的网络agent和中央控制单元组成.文章主要介绍了中央控制单元的设计与实现.中央控制单元是整个分布式入侵检测系统的核心,由网络数据库和诸多行为模块共同组成.文章在攻击检测、攻击响应、安全通信及系统自身安全保障方面尝试引入新的原理和技术.在保证实现各类入侵检测任务的同时,系统加强了自身的安全保障措施,中央控制单元同各网络agent之间使用TLS/SSL安全通信机制,采用认证技术进行身份识别,采用加密算法实现数据安全传输;系统内部网段引入本地检测代理,有效抑制系统内部可能出现的攻击行为;用于检测的监听网卡不分配IP地址,实现隐蔽分析;Honeypot陷阱程序诱骗入侵,分散系统安全风险.此外,清晰完备的数据库管理在管理上深化了系统的安全层次.简洁高效的误用检测方式、灵活的攻击响应、完备的数据库管理以及严密的自身安全措施组成了一款轻量级网络分布式入侵检测系统,其应用价值在跨网段测试过程中得到充分验证.