随着黑客的日益猖獗,网络安全的重要性越发显现出来,随之产生的各种网络安全技术也得到了不断地发展.在这些网络安全技术中,诸如口令认证、安全审计、防火墙、加密技术,以及基于IPSec的VPN技术等,总的来说都属于一些静态的防御技术.人们发现仅仅从防御角度构件网络的安全性是不够的.入侵检测系统就是在这种条件下产生的.网络入侵检测能够对网络中发生的入侵事件和系统内部的攻击进行主动实时的检测,可以根据检测结果,对网络中正在发生的入侵事件进行相应的响应.入侵检测系统和信息加密技术、病毒防御技术以及防火墙技术一道成为保护网络安全的卫士.但是,目前在网络入侵方面国内还没有成熟的产品出现.该文提出了一种基于代理的、可配置的、分布式的入侵检测系统——ACDIDS,解决了传统入侵检测系统体系结构中存在的不足.同时,在ACDIDS系统中很好的融合了基于网络的入侵检测系统和基于主机的入侵检测系统的优点.能够同时检测来自外部和内部的攻击.模型采用层次化的结构框架,整个系统分为数据采集层、数据处理层、检测匹配层、报警处理层;在实现结构上,系统采用一种分布式结构,分别由代理(Agent)、收发器(Transceiver)、监视器(Monitor)、存储器(Memorizer)和报警响应器(Annunciator and Responder)完成相应的功能任务,各个部件之间的通信由相应的接口完成.整个系统具有良好的适应性、实时性和可扩充性.该文对各个部件的设计实现进行了详细的介绍,并对其中的关键问题进行了讨论.ACDIDS最主要的优点是基于代理、可以重新配置,对代理进行重新配置时系统不用重新启动就可以照常工作.在检测部件的实现上,使用了协议分析和模式匹配相结合的方法,有效地减小了目标的匹配范围,提高了检测速度.同时改进了匹配算法,采用多模式匹配算法(AC-BM算法),使得系统具有更好的实时性能.在系统的安全规则数据库的更新过程中,系统不断对用于匹配的安全规则进行及时的更新,从而可以尽量减少错报和漏报的现象,提高了整个系统的检测准确性.