在计算机网络迅猛发展的今天，随着黑客入侵事件的日益猖獗，网络安全越来越成为人们关注的焦点。当前的静态防御技术，如防火墙，访问控制和数据加密等，已不能完全确保网络的安全和抵御黑客的攻击。入侵检测技术是继传统安全保护措施后新一代的安全保障技术，它对计算机和网络资源上的恶意使用行为进行识别和响应，它不仅检测来自外部的入侵行为，同时也监督内部用户的未授权活动。同时，这一领域也面临着诸多挑战：如何提高入侵检测系统的检测速度，以适应网络通信的要求；如何减少入侵检测系统的漏报和误报，提高其安全性和准确度；以及如何提高入侵检测系统之间的交互能力，从而提高整个系统的安全性能。本文首先从网络安全的现状出发，讨论了网络安全的关键技术，从而引出了入侵检测系统。接着，介绍了入侵检测系统的发展历史、定义、系统结构以及常用的检测系统类型，并在此基础之上，提出了一种基于协议的隐马尔可夫网络入侵检测系统模型。隐马尔可夫模型(HMM)具有模型研究透彻、算法成熟、效率高、效果好、易于训练等优点，在多个领域有着广泛的应用，如语音识别。目前，基于隐马尔可夫模型的异常入侵检测技术的数据主要来源于主机(如系统调用)，并取得了不错的实验结果。但应用在网络入侵检测方面，由于网络数据量的过于庞大与瞬息万变、HMM参数的难以确定，这方面的研究较少。本文基于这样的考虑，把隐马尔可夫模型应用在网络入侵检测方面，可以减小误报率、提高检测率。此外，隐马尔可大学习模块对于正常网络数据流量，能够调整参数，具有自主学习的能力，更具有灵活性。本文通过实验反复比较，在合理确定隐马尔可夫模型观察值之后，设计并实现了一个基于协议的隐马尔可夫模型的网络入侵检测系统。该系统除了具有入侵检测系统中通用的数据收集模块、检测引擎模块和入侵响应模块外，还加入了预处理模块、协议分析模块。通过协议分析模块，可以直接与相应的协议进行模式匹配，或者与建立相应协议的HMM模型进行异常检测，针对性较强，大大减少了匹配的次数。在检测引擎中，采用了模式匹配和异常检测相结合的方式，进行二次检测，有效减小了目标的匹配范围，提高了检测速度，使得系统在整体性能上有了较大的提高。最后的实验结果表明该系统具有较高的检测率、较小的误报率，并且可以检测到未知的攻击。