入侵检测作为一种主动的安全保障措施，有效地弥补了传统安全防护技术的缺陷。随着计算机和网络的不断发展，分布式计算环境的广泛采用，以及Internet上分布式协作攻击的频繁出现，传统的基于单机的集中式入侵检测系统已经不能够满足系统的安全需求，应运而生的分布式入侵检测技术逐渐成为入侵检测领域的研究热点之一。本论文研究和构建了一个面向大规模网络的分布式入侵检测原型系统。 本文首先通过对一些典型系统的描述，分析了目前分布式入侵检测系统所广泛采用的结构模型。在比较了这些结构模型的优点和缺陷的基础上，我们选择了层次化协作模型，这个模型可以集中层次模型和协作模型的优点。我们将系统的部件分成两大类，分析器和感应器。每个检测区域包含一个分析器和多个感应器，感应器与分析器之间是层次型的从属关系，感应器负责收集安全审计数据，检测安全事件，并向所属的分析器汇报，分析器对感应器上报的信息进行聚合分析，并且与其它检测区域的分析器进行交互以完成协作检测和分布式响应。 以传统方式构建入侵检测系统是一个基于专家知识的手工处理过程，对于网络环境或者系统配置的改变缺乏良好的扩展性，对于新的未知攻击方式也没有很好的适应性。针对这个问题，我们使用数据挖掘算法对安全审计数据进行分析处理，帮助系统自动生成入侵检测规则以及建立异常检测模型，并且将这些检测规则和模型自动发布到网络中的其他检测结点。这样在系统中出现新的未知的攻击方式的时候，感应器就可以检测到后续的类似的异常行为，不需要对规则进行手工编码和人工发布。 分布式入侵检测系统的各个部件之间的通信需要统一的标准的消息格式，我们使用的是由IDWG所定义的入侵检测消息交互格式(IDMEF)。另外，我们对IDMEF进行了扩展，以支持系统中审计数据上报、规则发布、响应指令、协作分析等要求。 本文详细说明了感应器检测网络异常数据，收集安全审计数据，并向所属的分析器汇报，以及执行响应指令的过程；说明了分析器对安全审计数据进行分析挖掘，对感应器上报的信息进行聚合分析，多个分析器进行协作检查异常事件，对入侵行为进行分布式响应的过程。另外，我们对分布式拒绝服务攻击(DDOS)的检测和响应提出了在我们的分布式入侵检测系统中的可行的方法。