入侵检测是动态网络安全模型中的关键环节。随着网络规模的扩大，网络攻击更加分布化和协同化。这就要求入侵检测系统也必须向分布式、协同化方向发展。本文研究的主要内容是基于代理的分布式协作入侵检测系统，目的在于建立面向大规模网络的分布式入侵检测原型系统，着重关注检测代理的实现和代理之间的协作机制。 论文首先对当前网络的安全问题及各种解决方案进行了简单分析，说明了入侵检测在网络安全体系中的重要性。介绍了入侵检测的定义、功能、分类以及主要检测技术。 接着，论文介绍了三种典型的分布式入侵检测系统的协作机制，分析了它们各自的优点和缺点。引入采用基于内容的消息转发机制的事件通知服务，在此基础上构建对等结构的分布式入侵检测系统模型。论文对事件通知服务器的拓扑结构，消息路由算法和路由处理策略进行了详细的阐述。 入侵检测代理实现了分布式入侵检测系统最基本的检测功能。代理采用协议分析技术，协议分析从网络通信协议特有的规则性出发，是目前比较先进的信息检测技术，克服了传统模式匹配技术的一些根本性缺陷。论文对检测代理的各个功能模块进行了详细阐述。 随着互联网应用的深入，网络蠕虫对计算机系统安全和网络安全的威胁日益增加。论文在最后对蠕虫的典型攻击过程进行了分析，得出蠕虫自身活动的一些特点：节点问的通信在扫描阶段会产生很多无效的连接，在蠕虫代码运输阶段的通信模式呈现相似性，具有一对多的特点。基于这些特点，利用特征检测技术和入侵检测代理之间的协作，实现了对网络蠕虫的检测。