入侵检测技术作为一种能够自动、实时地保障网络信息安全的动态安全技术,构成了继防火墙、身份验证等传统的静态安全设备之后的第二道防线,越来越受到国内外学者的重视;而分布式入侵检测系统更是随着高速网络、分布式网络技术的普及和大规模、分布协作式入侵攻击的出现,如DDOS,成为目前入侵检测的研究热点。首先,本文将数据融合技术与分布式入侵检测技术相结合,利用免费开源的入侵检测软件Snort,开发一个基于网络的分布式入侵检测原型系统,通过在需要监控的局域网内的各关键节点合理设置网络入侵检测引擎,收集网络数据包,进行入侵检测,然后将产生的告警传递到控制台进行告警事件分析,最后向网络管理员报告受监控网络内的整体安全状况。本文解决了Snort局限于单一的主机或网络架构,对异构系统及大规模网络的监测明显不足的问题。然后,本文对IETF入侵检测交换格式工作组IDWG( Intrusion Detection exchange format Working Group )正在标准化的IDXP进行了研究,并在此基础上设计了适合于混合型分布式入侵检测系统的通信协议,为入侵检测系统内部组件之间的信息交换提供了完整性、保密性、正确性的保障,同时也使得IDS本身具有良好的鲁棒性。最后,本文对入侵检测系统的测试技术进行了研究,分别对基于网络的分布式入侵检测系统进行了离线和在线的测试。在线测试时,本文模拟了一个局域网络环境,借助攻击模拟工具IDS Informer对本系统进行测试,实验的结果表明,本系统具有较高的检测率,并且误报率在可以接受的范围之内,整个分布式入侵检测运行正常;离线测试时,本文使用了权威的DARPA的Tcpdump数据集,再一次对本系统进行了测试,结果表明对于一些典型的网络攻击,本系统的检测性能同样良好。