当前,入侵检测系统已经成为信息安全整体架构必不可少的一道重要防线。不同于防火墙等其他网络安全组件和产品,入侵检测系统要求具有更多的智能。然而调查表明,当前投入使用的入侵检测系统在检测性能、对分布式攻击的检测能力等方面远远不能满足实际需要。另一方面,不同网络环境对入侵检测系统的架构设计和可靠性提出了不同的要求,特别是在大规模、高速网络环境下,由于在数据存储和处理上的局限性,目前大多数入侵检测系统存在丢包漏检现象,导致漏报率较高,检测率较低。本文提出一个校园网环境下的分布式网络入侵检测系统,由分布的智能本地代理和一个中央代理组成,在各网段部署具有自主行为的本地代理,采用改进的基于聚类的异常挖掘方法区分正常网络活动和异常行为,而中央代理集中处理各本地代理发出的告警消息,并负责整体的分析决策。在大规模高速校园网环境下,各网段的智能代理只处理本地网络数据包,避免了漏检；各代理采用基于聚类的异常挖掘方法,能够有效地检测出分布式攻击,如拒绝服务攻击DDoS。中央代理作为整个入侵检测系统的中枢,监控整个校园网的安全态势,并进行异常事件关联分析与报警信息融合,以精简入侵事件报告、降低误报率、提高检测率。实际环境中的模拟攻击检验结果和标准数据集的测试结果表明,采用该设计的入侵检测系统能及时有效地检测出多种类型的攻击,并具有较高的可靠性和检测率。