中国现已有 1 个多亿的上网用户。越来越多的公司看准了这个数字所代表的巨大的经济效益，逐渐将其核心业务向互联网转移，服务成为当前IT业另一个生长点，与此同时，网络安全作为一个无法回避的问题呈现在人们面前。随着计算机网络知识的普及，攻击者越来越多，知识日趋成熟，攻击工具与手法日趋复杂多样，单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要，网络的防卫必须采用一种纵深的、多样的手段。网络环境也变得越来越复杂，各式各样的复杂的设备，需要不断升级、补漏的系统使得网络管理员的工作不断加重，不经意的疏忽便有可能造成安全的重大隐患。于是，入侵检测系统成为了安全市场上新的热点，不仅愈来愈多的受到人们的关注，而且已经开始在各种不同的环境中发挥其作用。 现在的入侵检测系统大多存在系统可扩展性差、入侵检测技术单一、缺乏对入侵事件有效的响应机制等问题，难以满足政府机关，行政单位这种在安全要求上相对较高的部门对入侵检测系统在规模、有效性及节约国家行政支出等几方面的需求。因此人们迫切需要各种入侵检测系统能够协同工作，优势共享，缺陷互补，组成一种全新的分布式，从而能够组合各种检测攻击的信息，更精确的识别和定位攻击行为。这种需要在系统中综合运用多种入侵检测方法和响应机制，使整个系统具有好的规模扩展性、高的入侵检测性能和有效的响应机制的大规模分布式入侵检测系统的研究对满足政府机关，行政单位这种在安全要求上相对较高的部门的需求有着重大的意义。 本文首先对网络安全现状进行了一定的研究；阐述了入侵检测系统对于维护信息系统和计算机网络系统的重要性，提出了本文要完成的工作——研究基于政府专网网络体系结构的分布式入侵检测系统。随后简要的介绍了入侵方法，从而引出了入侵检测系统的概念，通用入侵检测的模型，并根据入侵检测不同的着眼点，对入侵检测系统进行了详细的分类，其中详细的介绍了基于不同体系结构入侵检测系统的优缺点并提出了各自未来的发展方向。文章的主体是剖析政府网络的总体特点及其网络架构特点，研究与设计该系统的整体结构并分析各个模块的功能，基于结构功能分析部署入侵检测系统，设计与实现系统的核心部分事件分析引擎的数据挖掘算法，通过测试分析表明事件分析引擎有着良好的性能，分布式入侵检测系统设计方法的正确性。 作为网络安全的一个重要研究领域，分布式入侵检测仍然存在着众多的问题和技术难点，本文的最后给出了针对该领域进一步的研究方向。