随着计算机网络的飞速发展,社会信息化程度的不断提高,网络在带来巨大的经济效益和社会效益的同时,也面临着日益严重的安全问题。对计算机网络的最大威胁是计算机病毒和黑客攻击。高速的网络为攻击者提供了方便,攻击模式和方法越来越复杂,攻击者的水平也在不断提高,攻击规模日益扩大,越来越多的系统受到攻击,如何保护网络系统不受入侵成为目前迫切需要解决的问题。入侵检测系统作为一种积极主动的安全防护工具,提供了对内部攻击和外部攻击的实时防护,在计算机网络遭受危害之前进行报警、拦截和响应。 论文首先在讨论网络安全缺陷和漏洞的基础上,对入侵检测系统进行了概述性介绍。入侵检测的分析技术主要分为滥用入侵检测和异常入侵检测,目前国内外流行的网络入侵检测系统大都是采用滥用入侵检测技术。本文采用滥用检测技术,实现了基于网络数据包的检测。滥用检测使用模式匹配方法,它是对已知的攻击技术进行分析,提取攻击的特征,然后对收集到的网络数据包与建立的入侵规则进行匹配,判断是否有攻击事件发生。 其次,在介绍常用入侵手段和网络入侵检测系统研究现状的基础上,讨论了当前入侵检测技术面临的挑战和发展趋势展望。 最后,设计实现了采用协议分析和模式匹配方法的网络入侵检测引擎系统。本课题使用Snort系统定义的规则库,实现了规则解析程序,通过建立规则选项索引链表,动态调整规则顺序,有效地提高了规则检测的速度和效率。对于捕获的数据包根据不同的协议进行解码,预处理模块则能对IP分片进行重组和对TCP流数据还原,规则检测模块采用了改进的BM模式匹配算法,使系统具有较快的字符串匹配速度。