入侵检测作为一种主动的安全防御手段,通过对网络上的数据流进行实时分析,发现潜在的入侵威胁,最大限度地提高网络的安全保障能力。本文首先分析了当前网络安全现状及其对策。接着分析了网络安全中的采用入侵检测技术的必要性和分类。并设计了入侵检测系统的整体框架:数据包捕获模块、数据分析模块、规则解析模块、响应模块、日志子系统五个模块,给出了各个模块的实现方式,并重点研究了数据包捕获模块和数据分析模块中的检测引擎子模块。捕获数据包是入侵检测的基础,传统的入侵检测技术一般采用基于BPF过滤机制的捕包工具,该机制需将数据包从网络设备到内存空间,再从内存空间到用户应用程序进行两次拷贝,使其存在捕包效率较低、CPU利用率不高等缺点;为此本文采用零拷贝思想改进了传统的捕包方式。零拷贝技术通过实现网络接口设备直接将数据报文以DMA方式存储到应用程序可直接访问到的地址空间,避免数据报文在内核态中传输时的内存操作,有效地降低了网络通信延迟和节省了CPU的开销。检测引擎作为入侵检测系统的核心,基干模式匹配的BM算法实现简单,技术成熟,但由于没有考虑已匹配的后缀及导致匹配失败的当前字符之间的相邻关系,使得算法的效率不高。为此本文设计了一种改进型的BM算法。该算法通过对最长前缀进行匹配,只需查找一个表则可得到模式串的移动次数,从而减少了检测过程中的计算量,提高了检测的准确性和系统的整体性能。最后,本文对系统的性能进行了测试和分析,通过与传统系统的性能比较,证明本文所设计的系统具有捕包和检测匹配效率较高、资源消耗较低等优点。同时总结了本文的研究工作,指出了下一步的研究方向。