随着计算机、通信和网络技术的高速发展,全球信息化的步伐越来越快,网络信息系统成为人类社会持续发展的基础设施。人类在感受到了网络信息系统对社会发展做出巨大贡献的同时,也认识到了网络信息安全问题已经成为影响国家长远利益和持续发展急待解决的重大关键问题。为了保护网络信息系统的安全,人们研究和探索了多种安全防护技术,从一开始的静态安全防护逐渐过渡到了动态安全防护。入侵检测技术是一种重要的动态安全防护技术,已经成为计算机科学与技术的一个重要研究领域。它对计算机和网络资源上的恶意使用行为进行识别和响应,不仅检测来自外部的入侵行为,同时也监督内部用户的未授权活动。总体上,传统的入侵检测系统建设速度慢、更新代价高,而且对日益复杂的网络设备和层出不穷的攻击方法显得缺乏有效性、适应性和可扩展性,分布式入侵检测系统的提出解决了不少困扰研究者关于入侵检测系统的扩展性、协同检测、互操作性等问题。入侵检测是以数据为中心的,传统的检测技术不能很好的适应现代大量的数据和提高检测效率的需要,而数据挖掘能够从海量数据集中挖掘出人们感兴趣的特定模式,因此,有大量的研究计划将数据挖掘技术运用到入侵检测中,这些研究大大推动了入侵检测研究领的快速发展。本文研究分析目前的DIDS后,针对目前DIDS存在的问题,改进得到基于数据挖掘的分布式入侵检测系统的架构(DMDIDS),它将基于网络和基于主机的入侵检测系统有机地结合在一起。DMDIDS主要包括基于主机的入侵检测组件、基于网络的入侵检测组件和中心管理器。它能够提供集成化的检测、报告和响应功能。按照CIDF关于IDS的体系结构和通信机制的要求,设计DMDIDS的系统结构和各个组件的结构与功能,设计与其他IDS系统和安全系统交互的接口与数据格式;组件的体系结构和通信机制的设计都满足一定的CIDF标准或者IETF标准,从而使得满足接口和数据标准的IDS能够加入到DMDIDS中来;而且还设计了一个中心管理器的路由器