网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信息安全的首要目标。网络安全技术主要有认证授权、数据加密、访问控制、安全审计等。入侵检测技术是安全审计中的核心技术之一,是网络安全防护的重要组成部分。入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在不影响网络性能的情况下能对网络进行监测,提高了信息安全基础结构的完整性。论文首先介绍了入侵检测系统的概念及分类,明确了入侵检测系统在网络安全中的地位。同时简要讨论了目前入侵检测系统存在的问题,指出了提高入侵检测系统分析数据的效率是提高系统性能的关键所在。论文根据CIDF(Common Intrusion Detection Framework)模型,设计了基于网络的入侵检测系统,该系统主要包括规则解析模块、数据采集模块、数据分析模块、响应模块和日志模块五个模块。在系统的规则部分借鉴了经典的snort 规则描述语言,这种描述语言简单、灵活、易于扩展且功能强大,能够描述绝大多数的入侵行为。数据采集模块中采用了专门为数据监听应用程序设计的开发包WinPcap 来实现数据采集。该开发包中内置的内核层实现的BPF(BerKeley Packet Filter)过滤机制和许多接口函数,不但能够提高监听部分的效率,也降低了开发的难度。同时WinPcap 是从UNIX 平台上的LibPcap 移植过来的,它们具有相同的接口,减轻了不同平台上开发网络代理的难度。数据分析模块中采用了协议分析技术,利用网络协议的高度规则性快速探测攻击的存在,有效的提高了数据分析效率,同时还避免了单纯模式匹配带来的误报。作为本文重点,在该模块中着重讨论了检测引擎中模式匹配的算法,通过对BF、KMP、BM、BMH 等单模式算法的分析比较,以及对多模式匹配WM 算法的研究,最后设计出了适合本系统的单模式算法与多模式算法相结合的优化算法,使系统性能得到了较大的提高。虽然研究得到的成果与真正适用的产品还有较大的差距,但通过对系统的设计与实现,使系统具备了基本的入侵检测功能,并在数据分析效率上相对传统的入侵检测系统有了较大的提高。