入侵检测系统是计算机网络安全的重要组成部分,它对网络进行检测,提供对网络的动态保护,大大提高了网络的安全性。随着网络技术和网络规模的不断发展,针对网络系统的攻击越来越普遍,攻击强度越来越大,攻击手法越来越复杂。因此,入侵检测系统需要有更强的系统处理能力和更高的攻击检测精确度。基于异常检测的入侵检测系统在通用入侵检测框架(Common Intrusion Detection Framework)的基础上实现,系统采用模块化处理思想进行设计。通用入侵检测框架能实现入侵检测和响应组件间的互操作,适用范围广,灵活性高。区别于传统的运行在用户空间的入侵检测系统,基于异常检测的入侵检测系统在Linux内核Netfilter框架中实现,能直接对内核空间的数据包进行采集和处理。系统运行在内核空间,不需要将数据包从内核空间转到用户空间,从而避免了数据包的内存拷贝,无需占用过多的系统资源,提高了系统处理性能。基于异常检测的入侵检测系统使用一种基于统计的协方差分析模型,该模型使用多种相互关联的网络特征向量作为学习和判断的依据,能够比较精确地描述网络数据流异常,检测精确度高。同时,该模型不需要进行数据的积累和模型的训练,实时性强,通用性好。在真实网络环境中对系统进行功能测试和结果分析,结果表明,系统具有较强处理能力和较高检测精确度,能够达到设计的目的。