随着网络技术的不断向前发展，网络安全越来越受到人们的重视，大规模分布式入侵检测系统已经开始大范围的部署，人们对于大量存在的入侵检测系统存在的疑问主要有两点：1. 这样的系统能否真正地检测到入侵；2. 这样的系统是否能适应高带宽骨干网下流量的环境。因此，在对入侵检测系统进行评价的时候，主要会对入侵检测系统这两方面的能力进行考察本文首先对主要的两种入侵检测系统进行了介绍，对各自使用的检测算法和功效进行了分析，其次本文提出了一种新型入侵检测系统的数据收集器的设计思想，并对此种思想进行了试验性的验证。在新型数据收集器的设计方面，本文首先对以往传统的数据收集器的收集数据方法作了简单的研究，在此基础上认为传统的数据收集器存在着严重浪费带宽的问题，因此提出了利用抽样技术采取“主动丢包”的手段来抽取流量作检测。因为在大规模的骨干网环境下，像现在这样对所有的流量进行注意监测是几乎不可能的，所以有必要研究如何在丢包的情况下保证检测精度的相对稳定，本文就是基于此出发点，提出了一个可行的数学模型作为解决这类问题的一次尝试在具体的数学模型的建立过程中。主要包含四个方面：基本术语的定义、等概率简单随机抽取流量数据收集器的标准满意曲线的定义与推导、检测精度的定义与推导、检测成本的定义与推导为了便于数学模型的建立，本文首先定义了模型中所需要用到的基本概念，然后结合简单等概率抽样的理论，使用数学期望的计算公式推导出了等概率简单随机抽取流量数据收集器的标准满意曲线的数学模型，并对得出的数学模型进行了证明与化简，在此基础上扩展出了等概率简单随机抽取流量数据收集器的满意曲线的数学模型，这个模型是数据收集器设计的数学基础在得到了等概率简单随机抽取流量数据收集器的标准满意曲线的数学<WP=63>模型之后，本文又对采用此模型设计的数据收集器进行数据收集时所产生的方差进行了研究，并计算了各种概率参数，这些概率参数是评价采用此种数学模型设计数据收集器会对检测精度产生误差的影响。最后，本文对采用这种模型设计数据收集器时候所需要抽取的数据量作了定性和定量的讨论，并最后给出了所需数据量的计算公式，这个计算公式分成两种情况：1. 当含有攻击特征的流量在整个流量中所占用的比例较大的时候，可以根据检测精度的要求采用等概率模型计算出所需抽取的流量。2. 当攻击硫量很少的情况下，可以采用稀有事件的计算模型根据检测精度的要求来计算所需的攻击流量在具体的验证性实验中，我们根据模型的要求对模型进行了测试，并得出了与模型推导出的结果相同的结论，这个模型和实验结论直接解释了北京启明星辰公司在测试中发现的“怪问题”：在严重丢包的情况下，检测精度却几乎没有下降的“奇怪”现象。