入侵检测技术是网络安全中一个重要的研究领域。随着网络规模的扩大，攻击方式的分布化，分布式入侵检测开始成为研究重点。本文研究的主要内容是分布式入侵检测的体系结构，目的在于建立面向大规模网络的分布式入侵检测原型系统，着重关注系统组件的通信机制。 在对入侵检测和通信机制作了相关介绍之后，分析了分布式入侵检测系统的研究现状，研究了分布式入侵检测系统体系结构的主要组成部分，并就典型的代表系统，对三种体系结构进行了比较分析。引入采用基于内容的消息转发机制的事件通知服务，在此基础上构建对等结构的分布式入侵检测系统模型。在消息内容格式定义方面，对IDMEF数据模型进行扩展，定义符合需求的消息内容格式。采用自定义的简单数据定义模型作为通信机制和IDMEF数据定义相结合的手段。实现了一个分布式入侵检测的原型系统，并针对分布式拒绝服务攻击，给出该系统的检测和响应方法。