互联网的日益普及以及各种互联网技术的快速发展使得网络安全问题成为现今网络所要面临的一大难题。为了保证网络能够安全有效地工作,各种与网络安全相关的技术和产品应运而生,如:密码技术、防火墙、入侵检测技术、VPN等。其中,入侵检测技术日益成为了专业人士关注和研究的焦点。为了能够使用入侵检测技术来最大限度地保证内部网络和主机的安全,人们将多学科领域的知识应用到入侵检测系统中从而提高系统的性能,例如,数据挖掘、人工智能、遗传算法、电磁场理论等学科知识的引入就大大提高了原始入侵检测系统对于未知攻击的检测性能。 然而,在大多数情况下,一台服务器或者一台用户主机都是同时面临着来自外网和来自内网的两方面的攻击,那么,一些功能单一的入侵检测系统就很难满足现实网络环境的要求。这就迫切需要一种功能更加强大的入侵检测系统,它不仅能够检测出当前流行的来自广域网的各种攻击,如:DoS(Denial of Services)攻击、网络扫描攻击(Probing)等,还应能够检测出网络内部的非法登录以及滥用行为。 本文首先介绍了国内外入侵检测技术的研究现状和发展趋势,其次详细分析了基于主机和基于网络的两种入侵检测技术的原理,并在此基础上详细分析了各种入侵检测技术的优缺点。从而提出了一种混合入侵检测系统模型,将模块化思想和多线程技术应用到系统的设计过程中,并详细介绍了系统各模块的组成、各线程的引入过程以及各线程的具体功能。该模型的设计过程主要基于Linux(Red Hat 9.0)系统平台,采用可跨平台使用的Qt类库,采用基于异常的检测技术,通过控制中心模块来协调管理其它模块的工作,有效地提高了系统的工作效率,并采用多线程技术实现了数据的收集存储与检测分析过程的并发执行,提高了系统的实时性。最后通过实验验证了该系统模型只需要较少的训练时间,并具有较低的误报率,能够有效的检测并报告同时来自局域网内部和外部的攻击。