随着计算机网络的发展,当越来越多的公司及个人成为INTERNET用户后,计算机网络安全作为一个无法回避的问题呈现在人们面前,用户传统上采用防火墙作为安全第一道防线,而随着攻击者知识的日趋成熟,攻击工具与手段的日趋复杂,单纯的防火墙已经无法保护网络安全,必须采用一种更新的手段。在这样的背景下,自九十年代以来,入侵检测一直是一个非常活跃的研究领域。入侵检测系统作为一种检测针对计算机和网络系统非法攻击使之免受破坏的重要部件应运而生。 本文首先讨论了网络安全问题及其对策,包括网络安全的目的,网络现存的威胁,传统的网络安全技术和网络安全模型。接着对入侵检测系统进行了详细的讨论,包括其产生的原因,作用,标准化等各方面的内容,入侵检测系统可以分为基于主机的入侵检测系统和基于网络的入侵检测系统,本文分析了这两种入侵检测系统,并对比分析了它们各自的优缺点。入侵检测技术主要有异常入侵检测和误用入侵检测两种。接下来分析了入侵检测系统在网络中的位置,入侵检测系统的不足和今后的发展方向。 接下来,本文实现了一个入侵检测原型系统,该系统包括七个模块:网络数据包捕获模块,网络协议解析模块,入侵特征数据库模块,入侵检测模块,响应模块,存储模块和界面管理模块,对各模块进行了设计和实现。在数据包捕获模块运用WINPCAP抓取网络数据包,然后对数据包进行协议分析,主要分析了IP、TCP、UDP、ICMP协议,并且按照数据包的协议类型显示数据,并把数据记录在日志文件中供以后查询使用,同时设计了一个简单的入侵描述语言,根据该语言的规则建立了一个入侵特征数据库,让以抓获的数据包与入侵特征数据库中的规则进行匹配,如果匹配成功,则说明有异常行为发生,否则,则说明行为正常。在规则匹配过程中使用KMP匹配算法,提高了匹配效率。 最后,本文提出了该系统今后的发展方向。与商业入侵检测系统相比,本系统还有很多值得修改补充的地方,作者希望今后学好LINUX内核,在嵌入式