入侵检测作为一种主动的安全防护手段，为主机和网络提供了动态的安全保障。它不仅检测来自外部的入侵行为，同时也对内部的未授权活动进行监督。利用网络协议的高度规则性，采用协议分析的方法，结合优秀的模式匹配算法，能较好地解决当前入侵检测系统中准确性与实时性之间的矛盾。论文对BM模式匹配算法进行了改进，使之更适应入侵检测系统中入侵规则的重复后缀频繁出现的情况。然后从基于协议分析的入侵检测系统的基本框架出发，深入探讨了其中的包捕获机制、包过滤机制和协议分析机制，重点描述了包括IP重组、TCP流重组和HTTP解码的协议分析预处理过程的设计。利用Winpcap函数库其中的BPF过滤机制，实现了对网络接口设备上的数据捕获和过滤；在TCP／IP协议族层次结构的基础上，实现了对其中的重要协议，如IP、TCP、UDP、HTTP等的分析，能够有效提高系统检测的精度和速度。测试结果表明，改进的BM算法能较好地处理重复后缀较多的情形。网络数据包的捕获、过滤及协议分析模块能够对TCP／IP数据包进行比较详细的解码，系统能够很好地检测出一些典型的网络攻击。