随着计算机技术与网络通信技术的迅速发展,特别是Intemet技术的日益广泛的应用,网络信息系统的安全性问题日益凸显。为了保证计算机系统之间数据通信的安全性,对未知的入侵进行有效防范,通常部署网络防火墙和入侵检测系统来保障网络安全。防火墙能够过滤来自外部有威胁的数据,并对外屏蔽网络内部的信息、结构和运行状况,保护企业网络免受攻击,但由于其自身的缺陷,本身容易被攻破,且难以应对来自网络内部的攻击。基于网络的入侵检测系统能在一定程度上弥补防火墙的不足:它通过误用检测模型来检测已知种类的攻击;通过异常检测模型来检测已知与未知的系统入侵。目前存在的问题是,根据系统正常行为建立异常检测模型的过程比较困难。由于当前网络数据流量的迅速增加,基于数据包过滤技术的网络防火墙系统以及误用入侵检测系统的实时性能都受到了挑战。本文研究了入侵检测系统目前存在的问题,在检测技术、访问控制和协议分析等方面提出了改进的模型和具体算法,以提高检测效率,降低漏警率,从而改善入侵检测系统的性能,最终设计并实现了基于深度包的误用入侵检测系统。本论文的主要贡献包括:(1)针对当前误用检测模型中检测效率低下的问题,在检测模块中引入改进的基于数据包过滤的分层搜索模式匹配算法(EHMA),以替换原有的简单字符串匹配算法,提高了系统的检测性能。EHMA算法是在HMA算法(线上匹配阶段的逐字符匹配带来效率低下的问题)基础上,改变了其线上匹配策略,实现了文本字符的快速过滤,提高了线上匹配速度,从而从整体上提高了系统的整体检测效率。(2)为了降低检测模块检测压力以及误检率,提出了在入侵检测的预处理模块处添加协议分析模块的改进方案,对基于数据包的会话实现了状态检测,以预防DDOS攻击。通过改进相关的正则表达式协议识别匹配算法,使系统能够快速识别数据包,过滤出不遵循RFC规则以及其他异常的数据流,检测出相关的攻击,从而提高IDS的检测性能。(3)为了降低检测模块的检测压力以及漏检率,系统在检测模块前,增加联动的动态访问控制规则模块。模块基于Netfilter架构+IPset实现,能实时分析报警日志内容,动态生成阻断控制策略,从前端阻断攻击数据流,达到有效的缓解后续入侵检测模块的检测压力。(4)基于提出的协议分析、访问控制规则和数据检测设计实现了一种基于深度包检测入侵检测模型。实验分析表明,较之现有的入侵检测模型它具有更好的扩展性和可伸缩性,在网络流量大的情况下仍然具有良好的检测性能,具有网络的主动防御能力。