传统意义上，入侵检测的研究都集中在独立的单机系统设施上。然而，一个典型的组织需要保护局域网或互联网络内主机群的安全。虽然每台主机上都可以安装一个单机入侵检测系统，但是通过网络入侵检测系统的协作，可使主机获得更有效的防护。

分布式入侵检测系统设计中存在下述一些主要问题：

（1）分布式入侵检测系统可能要处理不同格式的审计记录。在异构环境中，不同的系统会使用不同的原始审计记录收集系统。如果还装有入侵检测系统，则可能还要收集与安全性相关的其他格式的审计记录。

（2）网络中一个或多个节点负责收集和分析网络中各系统的数据。这样，未加工的数据或汇总性数据将在网络之间传递。因此，有必要保证数据的完整性和保密性。要求完整性是为了防止入侵者通过篡改传输的审计信息掩饰其行为。保证保密性是因为审计信息是有价值的。

（3）可使用集中式结构和非集中式结构。在集中式结构中，所有审计数据的收集和分析由一个节点负责。此结构减轻了对输入报告综合处理的任务，但也产生了一个潜在的瓶颈和单点失败问题。对于非集中式结构，有多个分析中心，但它们之间必须协调活动和交换信息。(www.daowen.com)

现有的一些分布式入侵检测系统的整体结构，主要有3个部分：

（1）主机代理模块：审计收集模块作为后台进程运行在监测系统上。它的作用是收集有关主机安全事件的数据，并将这些数据传至中心管理员。

（2）局域网监视器代理模块：其运作方式与主机代理模块相同，但它还分析局域网的流量，将结果报告给中心管理员。

（3）中心管理机模块：接收局域网监视模块和主机代理模块送来的报告，分析报告，并对其进行综合处理用以判断是否存在入侵。