随着互联网技术的迅猛发展,数以万计的网络接入点产生的海量数据,给网络空间安全带来了前所未有的挑战。入侵检测系统是维护计算机系统安全的有效手段,入侵检测系统执行检测时的数据主要源自:主机系统、底层程序、用户程序以及网络流量信息,检测系统通过对以上几个区域进行严密的监控,发现其中违反安全规则以及危害系统安全的行为,一个性能强大的入侵检测系统对于保障计算机系统资源安全来说是必不可少的。在技术不断更新换代、大数据兴起的当今,网络攻击手段也呈现出复杂化、多样化和自动化等新的特点。而与此同时,在实际应用中,较高的漏报率和误报率是入侵检测系统需要重点解决的问题。为了应对当下频繁出现的多目标、分布化、隐蔽化组合式的恶意攻击,提出了基于Windows驱动过滤的网络入侵检测技术研究,关于该项研究本课题主要做了如下工作。首先,介绍并明确与入侵检测技术相关的基本概念,然后分析目前入侵检测技术存在的不足。根据目前技术存在不足设计并实现一种基于内核层的网络数据采集驱动以及用户层的数据处理程序。其次,对整个检测系统进行逻辑上和功能上的划分和设计:将系统划分为运行于内核态的数据采集模块、同时运行于内核态与用户态的数据协同模块以及运行于用户态的数据存储与分析模块。对于数据采集模块,主要采用了Windows过滤平台技术(Windows Filtering Platform,WFP)实现一个运行于内核态的网络采集模型,在此模型中具备了对截获的数据进行初步过滤的能力:即可以在内核态下采用一种误用检测方法过滤掉带有明显的网络攻击实例。对于数据协同模块,分析数据交互的关键技术,重点设计并实现了内核态数据采集驱动与用户态数据分析应用的交互策略,该策略在当前系统环境下能够保证内核层与应用层进行大规模、实时数据交互。对于数据分析模块,主要负责将从内核获取的网络数据进行归纳和整理,以此产生成若干可供分析程序作为输入的网络连接实例。最后,介绍和分析了机器学习技术在网络入侵检测领域中的一般应用流程。除此之外,采用了著名的UNSW-NB15网络综合数据集,并实现了对其预处理和特征提取。最后采用了极端随机树机器学习算法训练了分类模型并分析其性能,以此可以作为整个入侵检测模型的异常分类器。