随着计算机网络技术的不断发展，Internet逐渐成为人们日常工作和生活的一部分。人类社会在获得网络信息化的同时，也面临着日益严重的安全问题。入侵检测技术是继防火墙技术之后的最重要的网络安全保障技术，目前得到了广泛的研究。原有IPv4协议面临着一些难以解决的问题，比如地址空间耗尽、路由表庞大等。IPv6作为下一代的网络协议，必将经历与IPv4长期共存并最终完全取代IPv4的过程。虽然IPv6利用IPSec协议解决了数据加密及身份认证问题，保证数据在不安全的网络上进行安全传输，但是IPSec无法有效防止针对协议本身的攻击，所以入侵检测依然很重要。因此，现在将此二者结合，研究IPv6网络下的入侵检测系统(Intrusion Detection System，IDS)是十分必要和及时的。本文根据IPv4和IPv6两种协议的不同，在分析IPv6的报头结构、扩展头、地址和安全功能的基础上，研究了IPv6入侵检测技术的新特点，及模式匹配和协议分析技术。协议分析是在传统模式匹配技术基础之上发展起来的一种新的安全技术，主要是针对单个数据包进行分析。然而现在很多攻击行为包含在多个请求中，仅靠检测单一的连接请求或响应是检测不到的，此时基于状态协议分析的技术就显得十分必要了。接下来，本文深入研究了基于状态协议分析(STAteful Protocol Analysis，STAPA)的模型和算法，它是在常规协议分析技术的基础上，加入状态特性分析——即不仅检测单一的连接请求或响应，而且还将一个会话的所有流量作为一个整体来考虑。本文所做的工作就是尝试将该模型应用到IPv6平台上。为了完成该工作，本文选用Snort系统进行了研究。因为它是一个基于网络的轻量级入侵检测系统，具有易于安装、便于配置、功能强大、使用灵活等诸多优点。因此，本文在研究Snort系统的基础上，为协议解析插件和规则处理插件增加了处理IPv6包的功能，同时也为包重组预处理插件添加了IPv6下的状态协议分析功能。最后，通过实验验证，改进后的Snort系统实现了以下功能：IPv6数据包的检测、扫描检测、IPv6的分片重组攻击的检测和SYN Flood攻击的检测。总之，本文通过对Snort系统结构的分析，提出了Snort系统相应的改造方案，最后通过实验验证了扩展后的Snort能有效地检测到针对IPv6的攻击，实现了对Snort功能的扩展。