随着网络环境的不断复杂、各种网络攻击的频繁发生,网络安全问题越来越受到人们的关注。传统的网络安全技术是以防护为主,即采用以防火墙为主的安全防护措施。但是防火墙作为一种被动的防御技术具有一定的局限性,比如对内部的非法操作无能为力等等。入侵检测是一种主动的保护技术,是目前网络安全的核心技术之一,它通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,来发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象。其中的分布式入侵检测系统能进一步解决当前网络中存在的安全问题,已经日益成为学术界研究的热点。本论文从当前的网络安全现状入手,对入侵检测的概念、发展历史、分类以及通用入侵检测模型进行了分析。然后介绍了现有的两种分布式入侵检测系统模型:AAFID和EMERALD。本文综合协作化结构和层次化结构提出了分布式入侵检测系统的结构,解决了单点失效以及信息量过大的问题。重点分析了网络探测代理部分的实现问题,从数据包的捕获、协议分析、规则链表的生成以及规则匹配等方面进行了阐述。其中实现了利用WinPcap进行数据包捕获的算法,改进了Boyer-Moore-Horspool算法进行规则匹配,最后在Windows XP平台下构造了基于规则的网络探测代理,其中使用Snort规则集,并且实现了ACID分析图形化输出。本文选用的是MySQL数据库。另外本文还使用VC++6.0设计了网络探测代理的用户界面,方便用户配置和掌握系统的安全情况。最后,本论文在对所做研究工作的基础上进行了总结,并提出了下一步的研究内容。