信息安全已逐渐发展成为信息系统的关键问题,入侵检测作为一种主动的信息安全保障措施,有效地弥补了访问控制、防火墙和身份认证等传统安全防护技术的缺陷。随着计算机技术和网络技术的不断发展,分布式入侵检测逐渐成为入侵检测乃至整个网络安全领域的研究重点。作为分布式入侵检测系统的关键问题,检测组件间的信息交互必须满足准确性、扩展性、移植性以及丰富的表达能力等特性。代理是具有一定智能并能够自主运行和提供相应服务的程序,在入侵检测领域具有独立性好、灵活性强、可扩充性好、错误扩散小、数据来源不受限制等诸多优点,能够交互彼此之间的信息以便更好的发现入侵。本文深入地分析了一些国内外的基于代理的入侵检测系统模型,对它们的优缺点进行了分析。在此基础上,提出了一种新的基于代理的分布式入侵检测系统模型,该系统应用代理技术解决组件之间信息交互的问题。同时,由于基于主机和网络的入侵检测各有其优缺点,所提出的系统模型利用了主机文件系统、日志系统和网络系统的信息来判断入侵行为,从而较好的发现入侵。为了降低误警率,对一些底层由扫描触发的重复报警进行了降冗余处理。此外,针对目前流行的拒绝服务攻击,设计了一个拒绝服务攻击发现代理用以发现这类攻击。最后,针对完成的入侵检测试验原型系统,本文进行了一系列的实验,重点测试了系统对缓冲区溢出攻击和拒绝服务攻击的检测能力。本文所提出的入侵检测模型中仍然存在着一些问题和不足,本文的最后给出了今后的研究方向和内容。