随着信息化的不断发展，网络安全和信息安全的问题显得日益突出。表现在：因特网的共享性和开放性使网上信息安全存在先天不足，因为其赖以生存的TCP/IP协议，缺乏相应的安全机制，而且因特网最初的设计考虑是该网不会因局部故障而影响信息的传输，基本没有考虑安全问题，因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。此外，随着软件系统规模的不断增大，系统中的安全漏洞或“后门”也不可避免的存在，众多的各类服务器、浏览器、一些桌面软件等等都被发现过存在安全隐患。尤其是现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段，使得黑客攻击的隐蔽性好，“杀伤力”强，是网络安全的主要威胁。 在不断增加的各类安全威胁下，人们发现只从防御的角度构造安全系统是不够的。系统安全模型在逐步的实践中发生变化。由一开始的静态的系统安全模型逐渐过渡到动态的安全模型，如PDR2模型。PDR2表示Protection、Detection、Recovery和Response，即保护、检测、恢复和响应。检测是系统安全模型中非常重要的一部分。入侵检测技术是继“防火墙”、“数据加密”等传统安全保护措施后新一代的安全保障技术。他对计算机和网络资源上的恶意使用行为进行识别和响应，它不仅检测来自外部的入侵行为，同时也监督内部用户的未授权活动。本文提出一种基于部件的入侵检测系统，具有良好的分布性能和可扩展性。他将基于网络和基于主机的入侵检测系统有机地结合在一起，提供集成化的检测、报告和响应功能。 在网络引擎的实现上，使用了协议分析和模式匹配相结合的方法，有效减小目标的匹配范围，提高了检测速度。使用攻击树表示各类攻击，同时改进了匹配算法，使得检测引擎具有更好的实时性能。在通过中心检测引擎对保护目标的数据信息进行协同分析，有效地解决了现有入侵检测系统普遍存在的误报和漏报的弱点。 本文的特点在于根据各类攻击的方式和特点将其定义和量化，将攻击过程每个阶段划分为各级攻击行为，通过攻击树模型进行综合分析判断。即核心分析系统接受各个代理引擎提交的攻击信息后，按照目标重要服务器对数据进行分类。即根据数据流向和访问目标将提交信息填入攻击树模型中，并根据攻击树选择算法递归归纳，其结果即为该保护目标的安全评估值，反映该保护目标的安全程度。