随着计算机技术和网络技术的不断发展,网络信息安全问题越来越引起人们的重视,传统的入侵检测技术已经不能很好满足分布式入侵检测的要求,分布式入侵检测逐渐成为入侵检测领域的研究热点。本文首先对网络安全技术发展现状进行了调研,在分析现有入侵检测技术存在问题的基础上,结合对分布式入侵检测的认识,研究分布式入侵检测的整体框架和检测分析模式,就其中所涉及到主要关键技术进行提出解决方案,并设计实现了一个基于Snort的分布式入侵检测原型系统。本文的主要工作如下:(1)对当前入侵检测技术的发展现状进行了调研,分析了不同类型分布式入侵检测系统的特点,在研究分布式入侵检测的技术要求的基础上提出分布式入侵检测系统的设计目标;(2)设计了一种改进的分布式入侵检测模式,让底层节点同时负责数据的采集和分析,将所发现的异常行为通知分析控制中心进行集中处理,从而在满足分布式入侵检测的基础上,降低了传统分布式入侵检测系统存在的传输负荷重、效率低和鲁棒性差等问题;(3)对底层入侵检测模块的设计。首先,将入侵检测工作在负责入侵检测的不同的底层分类器之间进行分工:利用Snort系统负责基于数据包内容的分析,开发基于流量分析的系统来完成针对拒绝服务攻击的检测工作,从而缓解单一类型分类器在检测不同入侵时存在的分析能力不足的问题;其次,对不同分类器所产生的原始报警进行格式归一化并进行二次分析,根据所制定的规则合并描述同一入侵事件的报警,从而降低报警冗余;(4)实现了一个分布式入侵检测原型系统。