入侵检测系统(IDS)可以弥补防火墙的不足，为网络安全提供实时的入侵检测及采取响应的防护手段。一个成功的入侵检测系统，不仅可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更，还能给网络安全策略的制订提供依据。它应该管理配置简单，还应根据网络规模、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录时间和报警等。 根据当前入侵检测系统的发展状况和现有的技术提出了自己的解决方案。本文共分为四章。 第一章综述了网络攻击的概念、类型、原理、入侵检测系统的设计原理和分布式入侵检测系统要解决的问题和最新的研究成果。 第二章首先综述了攻击分类的方法，然后给出了一种面向检测的攻击分类方法，该方法依据攻击所涉及的协议、事件间的关系、时间关系和数量关系对网络攻击进行分类。以该分类法为基础，对网络攻击的事件间的相互关系进行分析，并使用分治的方法对攻击事件进行分解，采用多个上下文无关文法相结合的方法提出了一种使用网络入侵脚本进行自动组建入侵模式库的有效方法，给出了建库算法，并使用C++实现了该算法。最后提出了基于该模式库的入侵检测方法，采用了统一的检测程序对各种类型的网络入侵活动进行检测，并可实时跟踪入侵活动的整个过程。 第三章给出了基于上述分类法的分布式入侵检测的体系结构和一部分技术细节，主要包括系统各部分之间的数据通信、捕获入侵者的身份等。 第四章总结了木文的研究情况和尚未解决的问题。