近几年来,我国的互联网络普及率仍维持稳步上升的态势,并带动了电子商务、网上支付等新兴行业的兴起。然而与此同时,各类网络安全事件也层出不穷,严重威胁老百姓的财产安全,从而对网络安全技术包括入侵检测技术提出更高的要求。作为网络安全防护体系中的重要组成部分,入侵检测系统能够检测出入侵者的入侵企图。传统的入侵检测系统由于其自身存在的一些问题,已不能满足当前网络安全的需求。因此有必要对入侵检测系统展开更进一步的研究。本文首先对基于规则检测的入侵检测系统作了深入的分析,借此了解了这类入侵检测系统的工作机制和规则的基本构成。接着阐述了一种基于遗传规划的入侵检测系统的基本框架。该入侵检测系统由抓包引擎、检测引擎、规则演化引擎、规则筛选引擎和规则库等部分组成。其中规则演化引擎是该入侵检测系统的核心,它根据原有规则库和历史入侵记录通过遗传规划产生新规则。遗传规划是一种有效的搜索寻优技术,利用该算法产生的新规则具备检测未知入侵行为的潜力,从而改进入侵检测系统的检测性能。文中给出了基于遗传规划的入侵检测系统的详细设计,其中抓包引擎采用了BPF数据包过滤机制,只捕获需要检测的数据包。此外抓包引擎还具有数据包解析功能,并将解析后的数据包按协议分类。检测引擎由数个检测子模块组成,每个检测子模块只检测一种特定协议的数据包。规则演化引擎包含数个重要的算法,例如交叉算法、变异算法、规则冲突检测算法等。规则筛选引擎是对规则演化引擎产生的新规则从结构和组成上筛选出合格的规则,确保最后更新进入规则库的规则都是有效规则。本文还描述了该入侵检测系统的实现过程并利用DARPA 99数据集从检测率和误报率两个方面与Snort检测系统作了比较。