论文首先分析了黑客入侵和网络安全模型;在此基础上给出了入侵检测的定义,入侵检测系统的结构组成和入侵检测系统的分类,详细阐明了基于误用的入侵检测系统和基于异常的入侵检测系统的特点,以及CIDF 和IDWG 有关入侵检测系统的标准化工作。论文设计实现了在Linux 平台下基于CIDF 框架的网络入侵检测系统,采用了异常和误用相结合的检测技术。实现了基于Libpcap 的网络数据包的捕获,在对入侵行为特征进行分析的基础上定义了入侵规则库,利用规则解析模块实现了入侵规则的解析。对于捕获的数据包,根据不同的协议进行解析(利用libnids 对IP 分片进行重组及对TCP 流进行还原),然后提交给入侵事件检测模块,对于检测出来的入侵行为进行简单的响应。入侵检测模块采用了改进的BM 模式匹配算法,使系统具有较快的字符串匹配速度。最后给出了本系统的测试结果,并进行了总结。结论是系统能够准确的检测出端口扫描、Trinoo 攻击、CGI 扫描等攻击。