日益增加的网络安全要求,不断地推动网络安全技术的发展。尽管每一种技术都有不可替代的优点,但是固有的缺点却制约了实际检测应用中的效果,技术融合是提高入侵检测系统性能的有效途径。 本文首先介绍了入侵检测技术的研究现状和发展趋势。其次详细地分析了网络入侵行为的特征属性,按特征存在的方式,网络入侵行为可以分为两类。第一类入侵行为的特征主要体现在网络连接的时间和流量特性上;第二类入侵行为的特征隐藏在数据包的数据段中,主要是系统服务的操作命令,对应的服务程序在执行该命令时触发入侵行为。该类入侵在网络流量特性和网络连接状态上与正常网络行为相似,所以通过对流量和连接状态的统计分析难以将两者有效地区分开。然后分析了神经网络和模式匹配技术的特点,神经网络适合检测具有统计特性的入侵行为;而模式匹配技术通过在数据包中搜索特征字符串来检测入侵。结合对入侵特征的分析,可见两者在功能上是互补的。最后基于上述分析本文构造了一个基于神经网络和模式匹配技术的入侵检测系统模型。为了提高神经网络模块的检测能力,在传统特征提取方法的基础上,增加了时间和流量特征,从而更加充分地体现了入侵行为的特征。并且结合应用中的实际情况,设计了互补式和嵌入式两种系统工作模式,以满足对检测速度或检测精度的不同需求,增加了检测系统的应用灵活性。 该系统即可以精确地检测出已知的入侵行为,同时对未知入侵行为具有一定的检测能力。实验证明两者结合起来构成的入侵检测系统性能更全面。