随着网络技术的迅速发展,网络的安全问题变得日趋重要,对网络安全理论和防护技术的研究也需不断创新与提高。目前防火墙和入侵检测是最常用的两种网络安全技术,但在单独使用时它们都存在着不足。因此,如何综合利用这两种安全技术,构建一个安全防护系统,已成为计算机网络安全领域中的重要研究课题。本文在系统分析防火墙与入侵检测技术特点的基础上,讨论了将它们作为一个有机整体发挥作用的必要性和可行性,进而探讨了综合防护安全机制的实施,并开发了相应的算法。论文所做的主要工作如下:(1)提出了一种基于开发接口的协同联动保护机制,即防火墙可以利用分布式入侵检测系统及时地发现安全策略之外的入侵攻击行为,入侵检测系统可以通过防火墙阻断来自外部网络的攻击行为,从而构成较为有效的安全防护机制,进而大大提高网络整体的防护性能。其中,入侵检测系统采用分布式检测、分布式分析、集中管理模式,可有效地提高入侵事件检测效率和响应速度,同时由于向入侵检测系统的主控端传输的每一台主机(或服务器)入侵检测报告,可有效的降低网络负载,提高协同安全保护机制的实时性。(2)基于Server/Client的通信交互模式,利用通道加密技术SSL与DES加密算法和密钥验证机制,在入侵检测系统和防火墙之间实现了传输信息的验证和加密功能,从而达到安全可靠的通信。(3)对入侵检测系统中的模式匹配技术进行了深入研究,在分析了BM算法的基础上,提出一个基于最长前缀思想的新的模式匹配算法EBM算法,该算法在后缀的匹配中使用shift表来确定移动值,大大提高了算法的运行效率,并在理论和实践上证明了该算法优于BM算法。(4)深入探讨了静态马尔可夫链模型及其在异常检测中的应用,利用马尔可夫模型建立一个正常集,也就是统计模型,通过计算该模型对一个实际观测序列的支持概率来判断是否存在异常行为,并给出基于静态马尔可夫链的检测算法及其修正算法,最后给出实验结果。(5)从“危险”级别定义和“可转移”级别定义的出发,制订了安全的协同联动策略,提出了分布式入侵检测系统中各事件分析器的协作算法,该算法可以节约系统的开销,减轻分析器的分析任务和资源占用。由于传输的仅仅只是分析报告,用几十个字节就可描述本地的分析检测结果,因此在彼此进行协作时,网络负载不重,对检测实时性影响不大。