随着对计算机网络安全需求的日益增长，传统的防火墙技术和单机入侵检测技术已经不能完全满足人们对入侵防御的需求，分布式入侵检测技术成为一个至关重要的研究方向。如何扩展分布式入侵检测系统的概念使其能够很好的适用中大规模网络安全的需求，是一个重要的研究内容。本文研究了基于代理的对等分布式入侵检测技术的关键，包括分布式入侵检测技术、代理技术原理、面向网络数据的高速静止代理模型、面向主机审计数据的高速静止代理模型、对等的分布式入侵检测模型、高速扩展模型等，并且在此基础上实现了基于代理的对等分布式入侵检测系统(APDIDS-Agent based P2P Distributed Intrusion Detection System)。 静止代理(又称本地代理或检测器，仅运行在一台机器上，是相对于移动代理而言的)分为基于网络的和基于主机的，针对传统分布式入侵检测系统处理源(审计)数据时性能较差的问题，本文分别面向网络数据和主机审计数据提出并设计了不同的高速静止代理模型。 分布式入侵检测系统需要通过传感器获得网络的实际状况，并通过基于网络的静止代理进行数据的初步分析。基于网络的静止代理通常放在子网内部的不同部分，监控每个部分网络的实际状况。传统做法仅通过局域网络的拓扑来规划静止代理的分布，各静止代理是相同的。随着网络带宽的快速发展，基于网络的静止代理需要工作于千兆甚至更高网络线速，这对于传统静止代理模型来说难度很大。本文分析了以snort为代表的面向网络数据的传统静止代理模型，提出一种基于动态特征集的改良方法，根据规则的功能对特征集进行划分，动态加载特征集，从而提高基于网络的静止代理对网络数据的处理速度。 基于主机的静止代理需要对主机上大量的日志等信息进行审计，发现其中可能的入侵行为。这类静止代理通常运行在被保护的关键主机中。对于中大规模网络，被保护的关键主机可能是Web Server、Mail Server等访问量很大的服务器，因此生成的各类审计数据源相当巨大。同时，这类服务器的一个重要特点是提供服务的数量和质量均受限于服务器本身的计算资源(包括CPU和存储器)，而网络带宽资源却相对丰富。在这类关键主机上运行静止代理，大量的数据审计运算会降低服务器对外提供服务的质量。针对上述问题，本文使用分布式计算的概念，利用多机分布式计算的方式提高对主机审计数据的分析，设计了一个基于分布式处理主机审计数据的静止代理模型，使基于主机的静止代理的运行基本不会影响