随着Internet技术的迅速发展,网络入侵问题越来越严重。网络入侵检测系统(NIDS)作为防火墙的有效补充,近来备受人们青睐。然而,该领域还存在一系列尚未解决的问题:攻击特征库的自动化构建,变种攻击和未知攻击的检测,针对网络入侵检测系统自身攻击的检测,网络入侵检测系统的检测速度等。 本论文在总结前人工作的基础上,分析了解决NIDS问题所使用的技术和方法。在分析多模式串匹配算法(MP BM)实现原理的基础上,给出了其设计思路和实现方法,提出进一步的改进办法,通过改进模式匹配算法来提高检测速度。利用协议分析技术发现网络中的异常报文,标识出未知攻击,发现攻击者使用的躲避技术和变种攻击。协议分析包括简单协议分析(SPA)和状态协议分析(STAPA),本论文通过状态协议分析来解决多步骤攻击这一长期被忽视的问题,解决了单纯的模式匹配算法存在的缺陷。在分析模式匹配技术和协议分析技术的基础上,提出了模式匹配与协议分析结合的网络入侵检测模型,给出了该模型的总体结构,及部分模块的实现原理,并且分析了该模型的优点及其缺陷。 本论文提出的模式匹配与协议分析相结合的网络入侵检测模型,可提高检测速度、减少系统资源消耗、降低误报率,明显改善系统性能。