入侵检测是指对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性。入侵检测系统(IDS)则是指进行入侵检测的软件与硬件的组合。现在大多数入侵检测系统使用的信息分析技术主要是特征模式匹配技术和协议分析技术。传统的特征模式匹配技术具有检测慢、准确性不够高并且消耗较多的系统资源等缺点。协议分析技术是新一代入侵检测系统探测攻击手法的主要技术，它利用网络协议的高度规则性，快速探测攻击的存在，具有检测速度更快更准确，可降低漏报率和误报率，并且还使检测所消耗的系统资源大大减少等优点。本文在指出了入侵检测系统在安全领域中的地位以及简介了IDS的基本原理后，提出了一个分布式的、具有CIDF体系结构的、基于协议分析的入侵检测系统框架，详细分析了该框架的结构、组成部件及功能。入侵检测系统的核心在于保证实时性和准确性。随着高速网络的发展，网络流量日益增大，如何实时检测所有的网络数据包，同时保证其检测的准确性，即不产生漏报和误报已成为研究的焦点。本文的核心工作围绕着实时性和准确性这两点展开，主要研究了以下技术：(1)基于BPF模型、采用libpcap函数库开发高速网络数据采集器；(2)采用零拷贝技术提高网络数据采集器的性能；(3)协议分析技术；(4)规则描述。在此基础上，开发了一个简易入侵检测原型系统。论文的最后对所做的工作进行了总结并对入侵检测的研究发展进行了展望。