入侵检测系统就是对网络或主机上可疑的访问行为做出识别和反应的网络安全保障系统,它是保证网络系统安全的重要手段。然而,由于入侵检测技术涉及到比较复杂的运算,加之它所监测的数据量庞大,如何提高入侵检测系统的检测效率成为亟待解决的问题。为此,论文以入侵检测系统体系结构为切入点,重点研究一种高效的、基于分层的分布式入侵检测系统。论文将分布式入侵检测系统从功能上分为三个层次:数据采集层、数据分析层和决策控制层进行研究,目的在于探索一种能够提高入侵检测系统检测效率的方法。论文所做的主要工作如下:在数据采集层,论文分析了传感器的工作原理、安全性问题和报文捕获技术,对传感器分布式部署方案进行了设计。论文特别将基于数据包分析的入侵检测流量负载均衡技术应用到数据采集层,同时研究了它的算法和部署策略。在数据分析层,论文对数据分析模块的体系结构及分布式部署策略进行设计,分析了数据检测过程,并引入了一种字符串模式匹配算法:BM算法,提出了一种基于资源占用的动态入侵检测任务分配方法来解决数据分析层的任务分配问题。在决策控制层,论文主要研究了决策控制层的体系结构及各模块的功能。论文还对基于分层的分布式入侵检测系统的通信机制和协作机制进行了分析与设计,其中包括不同层次之间的通信机制和同一层次各个模块之间的通信机制、协作内容和协作的基本模型。论文使用基于Linux环境下的Snort软件搭建分布式入侵检测系统的测试平台,给出了IDS主机、服务器和分析员控制台的详细配制清单,并进行了模拟攻击与检测实验,最后通过ACID查看检测结果。通过对实验检测结果进行分析,说明该系统是可行的和有效的。