该文提出一种具有良好分布性能和可扩展性的基于网络的入侵检测系统,它由网络探测器、控制台、分析系统、响应系统和存储系统五大部分构成,各部分在控制台的协调下有机地结合在一起,提供集成化的检测、报告和响应功能.网络探测器属于CIDF中的事件产生器,它截获网络中的原始数据包,并通过分析从中寻找可能的入侵信息.所以,网络探测器不仅仅是一个数据产生和传输的工具,而且具有一定的数据分析能力,对于已知的攻击,它使用模式匹配的方法来检测,这样可以大大提高系统的处理速度,也可以减少分析部件的工作量及对系统网络传输的影响.可以说,网络探测器是基于网络的入侵检测系统的核心所在.在作者的毕业设计中,对该部分做了详细设计,并编程实现其框架.系统中网络探测器的实现是通过修改Linux操作系统的内核代码,使其运行在操作系统级,从而保证其具有较高的优先级,克服了现有的IDS系统效率较低的缺陷.它根据模式库,使用模式匹配的方法来检测,这样可以大大提高系统的灵活性,也可以减少分析部件的工作量及对网络负载的影响.在实现技术上,采用了协议分析和模式匹配相结合的方法,有效减小了目标的匹配范围,提高了检测速度.同时改进了匹配算法,使网络探测器具有更好的实时性能.