随着网络应用的日益普及,越来越多的信息和资源都通过网络发布和转播,保障计算机网络安全越来越重要也越来越具有挑战怀,现在的各种静态安全技术,入防火墙、数据加密技术都比较成熟了.但这还不能适应主动发现入侵,防止黑客攻击的需要.于是安全专家们提出了入侵检测的理论.作为动态安全技术的基础,它根据入侵的痕迹和规律发现入侵行为并做出适当的响应,是一种较主动的网络安全系统.该文主要介绍了在Windows2000环境下,基于代理(Agent)的实时分布式网络入侵检测系统的设计模型和实现方法.该入侵检测系统能够将若干实时入侵检测网络代理按需要分布于不同的网段,与中心IDS服务器协同工作,对一些典型的入侵行为(如Land攻击)进行识别判断,并能够对一些拒绝服务类(DoS)攻击进行检测.运用代理的思想构造入侵检测系统,符合当今网络分布式发展的要求,所以该文介绍的Windows2000环境一的基于代理(Agent)的分布式实时网络入侵检测系统具有较高的研究价值.该文首先介绍了关于IDS的一些基本概念和原理,又简单介绍了一下其发展过程.然后,主要介绍了基于代理(Agent)的实时分布式网络入侵检测系统(DNIDS)的设计和实时入侵检测网络代理的具体实现.最后,总结了当前网络入侵检测系统所面临的主要发展障碍和发展趋势,探讨了解决这些问题的一些方法和思路.该文设计和实现的实时入侵检测网络代理(NIDA)主要包括六个功能模块:数据采集模块、检测模块、通信模块、数据库模块、管理模块和响应模块.其中,数据采集模块的主要功能是,根据要检测的对象,截获数据包.该文主要介绍在Windows平台下利用Winpcap开发包,将网卡设为混杂模式,捕获网络原始数据包的方法和过程.检测模块的目的是完成具体的检测任务.通信模块完成代理与中央IDS服务器之间的通信.数据库模块主要是将接收到的数据包和检测结果保存在SQL Sever数据库中,以便将来进行查询分析.管理模块则是通过图形界面,完成与管理员的信息交互.响应模块是在中央IDS服务器失效时,根据检测的结果,做出例如:显示报警、响铃等报警响应处理.