网络与信息安全问题已经日益突出,黑客入侵、信息泄密以及病毒泛滥所带来的危害引起了世界各地的高度重视。世界各国开始将网络与信息安全提高到国家安全的高度加以重视和研究。我们国家安全部门更应该根据当前信息安全工作需要加强信息安全技术研究。入侵检测技术是继“防火墙”、“数据加密”等传统安全保护措施后新一代的安全保障技术,正是我们研究的重点。本文提出一种基于组件的多层次分布式入侵检测系统(Component-based Mlti-Level Distributed Intrusion Detection System,简称CMLDIDS),他将基于网络和基于主机的入侵检测系统有机地结合在一起,提供集成化的检测、报告和响应功能。系统分为三个层次:主机检测器和网络检测器为第一层,全局检测器和存储实体为第二层,中心服务器位于第三层。文章首先简要介绍网络安全现状,比较系统的介绍了入侵检测的定义、重要性和方法,分析了现有入侵检测系统的优缺点。对我们在设计的系统中运用的重要组成部分Snort作了详细的讲解。然后系统地进行了检测系统各组件部分的设计和系统测试,最后提出了今后研究的一些思路。在系统的设计和实现中,我们采用了一些新的思想和方法,比如在网络检测器的实现中将Snort封装为系统组件的一个部分,既保证了基于网络的入侵检测的准确、及时和高效,又能及时进行该组件的完善升级和检测特征库的更新;在主机检测器中的网络端口检测功能,有效的解决了交换式网络中入侵检测系统无法检测的致命弱点。在对审计数据的检测中我们采用QST算法完成统计分析功能,使得日志分析模块具有自适应性。处于二级分析层次的全局检测器的设计非常具有灵活性,可以有多种检测方法共存,互为补充;组件结构信息和检测结果数据存放在存储实体有利于保持全局数据的一致性和方便管理;符合CIDF标准、基于组件的系统设计使系统的部署具有很强的灵活性和可扩展性;分层次过滤审计信息和入侵事件信息、二级分析结构一方面大大降低了系统运行负荷,另一方面能够检测出很复杂的入侵行为,保障了检测的分布性和准确性。中心服务器提供对各组件的控制能力和入侵响应功能,确保系统安全管理的可靠性。