随着网络环境的不断复杂,各种网络攻击的频繁发生,网络安全在Internet中的重要性越来越明显,具有主动防御功能的入侵检测系统IDS新的方法和技术不断提出和应用。本文在分析了CIDF框架和传统DIDS框架的基础上,构建了一个基于CORBA的轻负载代理分布式入侵检测系统模型CL-DIDS(CORBA-based Lightweight-Agent Distributed Intrusion Detection System),该模型不仅可以检测基于主机和网络的入侵,而且可以快速检测大规模的分布式入侵。CL-DIDS充分利用了CORBA中间件作为系统间集成的总线,发挥了CORBA对操作系统、网络协议和编程语言的透明性等优点,使把工作重点放到伺服对象的实现上。CL-DIDS利用系统命令实现了系统调用序列所耗时间、所占内存的大小收集,利用与具体实现无关的访问操作系统所提供的分组捕获机制的函数库Libpcap对网络数据包截获,并进行协议解码,分离出TCP/IP协议层的各个字段,降低了在不同平台上开发检测代理的难度。CL-DIDS实现了基于危害系数动态队列的主机调用序列检测方法和对网络数据包协议分析和模式匹配相结合的检测方法研究,同时对NFR入侵检测规则的描述格式也进行了研究,降低了误报和漏报,提高了匹配的速度,检测的实时性和准确性。CL-DIDS引入了代理敏感度的新概念,利用动态加载技术提高或降低代理敏感度,实现对DDOS等分布式入侵的检测。同时中心分析器对个代理的可疑数据汇集,综合分析各种数据源,进一步判断各种分布式的攻击,提升系统对复杂攻击的分析和决策能力,提高系统健壮性。CL-DIDS的体系结构模型具有:平台无关性,良好的适应性,扩展性,支持多层次的数据分析以及动态防御等特点,对于目前的复杂网络具有良好的应用前景。