随着互联网的日益开放和网络技术的快速发展,网络安全问题日益严峻。入侵检测系统(Intrusion Detection System,IDS)能根据入侵行为的踪迹和规律来发现入侵,成为防火墙、数据加密等静态安全技术的有效补充。误用检测具有准确率高的特点,但是对新型攻击和未知攻击无能为力;异常检测通过构建正常模型,能够检测到未知攻击,弥补了误用检测的不足,因此成为近年来的研究热点。本文旨在扩大IDS的检测范围,并实现检测的准确性和快速性。研究内容主要包括以下几个方面:1.对IDS的分类进行了系统性的研究,分析了IDS的国内外研究现状及发展趋势,剖析了各种攻击的特点,并着重对异常检测技术的流量检测模型和应用层检测模型进行了分析比较。2.为应对复杂的网络环境中攻击的多样性,提出了一种面向混合攻击的异常检测方法。重点改进了异常检测的特征提取和特征建模过程。特征提取力求全面、准确并简洁,提取了数据包头部若干字段及应用层的相关信息。检测模型要具有推断能力,因此将连续型特征和离散型特征根据各自的特点分开处理。实验表明:在保持较低误报率的情况下,提高了对多种攻击的综合检测率。3.为了提高检测的准确性和快速性,在异常检测的基础上,结合误用检测方法,构建了一个分层式混合入侵检测系统(HH-IDS)。第一层采用快速的流量统计技术,对数据包头部字段进行异常检测,将数据划分为正常和异常;第二层采用准确性较高的模式匹配方法对第一层的异常数据进行再次检测,以降低误报率,而将第一层的正常数据和模式匹配未检测到的数据进行有效负载异常检测,以检测基于内容的攻击。另外,详细分析了包捕获技术和检测分析技术,并利用模拟流量实现了系统的流量统计模块和模式匹配模块,为IDS的设计提供了思路。