随着网络的普及和黑客们的增多,网络安全问题变得日益重要。作为防火墙的重要补充,入侵检测技术成为当前网络安全研究领域的热点。传统的基于异常的或基于误用的入侵检测总是在正常和非正常间作出一个绝对的选择,这种结果丢弃了大量有价值的信息,导致检测效果的不理想,尤其是在复杂的分布式网络环境中更加如此。为了降低入侵检测系统的误报率、漏报率,以模糊理论为基础,结合通用入侵检测框架的思想,设计了一个分布式入侵检测系统中的事件分析器。该事件分析器的核心是一个称之为模糊决策引擎(FDE)的部件,它是分布式入侵检测系统中检测代理的一部分,能够在判定入侵行为时,基于模糊理论综合的考虑来自于检测代理的各类信息。带有FDE的分布式入侵检测系统的综合评估过程是一个层次结构,低层次的FDE对它负责的网络状况作出评估,并将评估结构报告给高层次的FDE,由高层次的FDE作出进一步的评估。这样的入侵检测系统拥有高精确的入侵检测,高效的决策过程,以及系统资源消耗低的优点。最后,在模糊决策引擎的设计理论的基础上,利用snort的数据采集功能,给出了该事件分析器的实现,并且利用改进的BM匹配算法实现了网络数据信息的分类。为实现snort和事件分析器间的通讯机制,建立了统一的数据通讯接口。