入侵检测作为新一代保障网络安全的技术,在近年来得到了广泛的重视和研究。入侵检测系统和防火墙的相互配合大大加强了整个网络环境的安全。入侵检测不但能够检测出来自网络外部的攻击,而且能够发现来自网络内部的非法活动。因此,入侵检测技术已经成为网络安全领域一个研究的热点。本文针对大型的分布式网络,提出了一个基于网络的分布式入侵检测系统模型,并且设计实现了一个基于网络的入侵检测系统。同时,针对分布式入侵检测系统的单点失效问题给出了解决方案。本文分析了Snort检测规则树的逻辑结构,采用了改进的规则树,通过实例的形式验证了改进后的规则树能够明显降低规则匹配的次数。同时,对BM模式匹配算法的匹配顺序和好后缀规则进行了改进和实现,通过实例和程序验证了改进后的BM算法能够减少模式串的滑动次数和字符的匹配次数,提高了模式匹配的速度,最后,以VC++的形式给出了改进后的BM算法的实现过程。此外,根据TCP协议的特点,采用了状态协议分析的方法,并且分析了如何在状态协议分析过程中设置时间间隔ΔT和阈值N,并证明了ΔT和N之间存在着正比例关系:ΔT = kN ( k> 0)。另外,本文所实现的基于网络的入侵检测系统对网络中相关协议数据包的数量进行了统计,方便监视网络中相关协议流量的变化情况。为了方便查看协议分析和入侵检测的结果,将不同协议的分析结果和入侵检测的结果显示在不同的列表中,并且能够对数据进行备份。同时,协议确认模块的过滤功能减轻了系统的负担,提高了入侵检测系统本身的安全性。