入侵检测作为一种积极主动的安全防护技术,它不仅能检测未经授权的对象对系统的入侵,而且也能监视授权对象对系统资源的非法使用。随着因特网应用的日益普及,基于网络的入侵检测也越来越受到重视。但是基于网络的入侵检测系统也面临着诸多挑战,例如:如何提高入侵检测系统的检测速度,以适应网络通信的要求;如何减少入侵检测系统的漏报和误报来提高其安全性和准确度等。本文首先讨论了网络安全问题及其对策,包括网络安全目的、网络现存的威胁、传统的网络安全技术和网络安全模型PPDR。接着对入侵检测系统进行了详细地论述,包括其产生的原因、作用、标准化等各个方面的内容。入侵检测系统根据检测的数据源可以分为基于主机的入侵检测系统和基于网络的入侵检测系统,本文主要探讨了基于网络的入侵检测系统。对入侵检测模型和检测技术,及其发展方向进行了探讨。入侵检测技术主要有异常入侵检测和误用入侵检测两种。接下来分析了基于网络的入侵检测系统的设计原理和体系结构。然后,建立了系统的整体框架,主要包括7个模块:网络数据包捕获模块、网络协议解析模块、规则解析模块、入侵事件检测模块、响应模块、存储模块和界面管理模块。设计了系统的顶层数据流图、功能流图以及体系结构,并且对各个模块进行设计,分析和实现了网络数据包捕获技术、协议分析技术、规则解析技术以及入侵检测技术,对传统的入侵检测系统作如下改进:首先,针对传统模式匹配检测技术存在的计算量大、误报警率高等问题,提出了一种基于协议分析的检测技术。该检测技术充分利用了TCP/IP协议技术的高度规则性来探测攻击的存在,从而大大地缩减了检测的计算量。在协议分析中,完成了对IP, ARP, TCP, UDP, ICMP协议的解析工作。其次,针对入侵规则库难以更新的问题,设计了本系统的入侵事件描述语言,可以使用该语言来建立新的规则,用新的规则描述新的攻击方式,可以动态添加入侵规则库,使整个系统变得短小精悍。