本文的主要工作如下： 1) 综合主机检测器和网络检测器的分布式入侵检测系统体系结构的设计，同时分析来自主机的审计记录，系统日志以及网络原始数据流，更加全面地检测系统的各种入侵攻击现象。在这种体系结构中，底层可以独立地完成相应的入侵检测，可以避免集中式检测时数据包处理效率低下的问题，减轻了主控系统的负担；各个检测子系统独立运行，互不影响，避免了单点失效问题；可灵活部署，可扩展性很好；主控系统从全局对整个系统的运行进行监控，检测针对整个系统的更加复杂的攻击入侵，主控系统失效不会影响其下层各个子系统的入侵检测，某一个子系统失效也不会影响其他子系统和主控系统的运行。 2) 可移植的高效的分布式网络数据包采集器的设计与实现，用分布式数据包捕获取代传统的集中式数据收集，提高了数据收集的效率。 3) 分布式NIDS子系统的设计与实现，利用基于应用的负载均衡分发技术来进行协议分流，将协议解析后的数据包以应用为单位分配到不同的入侵检测分析引擎进行入侵检测。 ①协议分析引擎的设计与实现，完成了IP分片重组以及TCP流重组，利用协议分析技术来提高数据包解析效率，提高了检测效率。 ②分布式入侵检测分析引擎的设计与实现。在协议解析基础上对网络数据流进行分布式入侵检测。首先改进了基于应用的负载均衡分发算法，对其处理流程进行了改进，增加了算法所能处理的数据范围，提出了基于应用根据UDP数据包所属协议类型为其分配检测引擎进行入侵检测的思想；以TCP连接事件的建立过程为参考，提出了建立UDP“连接事件”的思想；并且根据数据包所属协议类型及其实现特点，分别设计了TCP连接事件和UDP“连接事件”的建立流程和入侵检测流程。 ③系统检测流程的改进：数据包在由负载均衡分发器分发到各入侵检测分析引擎进行入侵检测的同时，系统利用方差分析算法进行异常数据流的检测。分配到各个入侵检测分析引擎的数据包，首先进行数据包合法性检查，然后根据其所属协议类型分别建立TCP连接事件和UDP“连接事件”，然后根据我们设计的TCP和UDP“连接事件”的建立和入侵检测流程，运用各种异常和误用检测技术，进一步检测是否存在包含网络连接中的各种入侵攻击现象。 4) HIDS子系统的设计。本系统中我们提出了在HIDS中分析到达本机的原始数据流的检测思想，提高了HIDS检测子系统的应用范围，实时性和效率。 5) 主控系统的设计与实现。底层各个入侵检测分析引擎将检测到的入侵数据格式化后送到主控模块，主控模块运用相关算法进一步检测针对整个系统的各种入侵现象。 最后在局域网环境下作了相应的实验。并对实现结果进行了分析对比，证明了系统的高效性。