在网络应用范围越来越广,网络服务越来越便利的情况下,网络安全是人们不得不面对的一个难题。网络中的各种资源和重要信息无时不受到各种不安全因素的威胁。最近一次黑客的大规模的攻击行动中,雅虎、亚马逊、新闻网站CNN 等受到攻击。国内的很多大企业、信息港等也发生了很多入侵攻击事件,造成系统服务中断,带来巨大的损失。所以采取安全技术保护资源和信息的安全是网络应用和发展的需要。入侵检测技术是网络安全中的重要环节,虽然发展的时间不是很长,但引起了广泛的关注和重视。从数据源的角度,入侵检测技术分为基于网络和基于主机的检测;从检测技术的角度,分为异常检测和误用检测。最早的检测主要是误用检测,但它对未知攻击不具有检测能力,而且需要不断更新入侵签名。现在异常检测技术还很不成熟,但它具有对未知攻击的检测能力,所以成为研究的热点。随着应用要求的发展,对未知攻击、分布式攻击、高速网络等的检测要求越来越迫切,将新的思想和理论结合到入侵检测技术中是一个趋势。本文主要是面对网络检测中的新要求,探讨新的入侵检测模型、异常检测技术和主动响应机制的问题。考虑网络中数据量的增加和分布式攻击的情况,解决检测处理能力、多个检测点信息交互、检测系统的容错能力等问题,成为检测技术发展的方向;同时面对层出不穷的未知攻击,采用新的异常检测技术可以实现对未知攻击的检测;为完善入侵检测系统,入侵检测的主动响应机制也是不可缺少的部分。本文在以下几个方面进行了研究和探讨:(1) 对现有的入侵检测系统和技术进行了分析,找出现有入侵检测系统和技术的不 完善之处。(2) 提出一种新的分布式网络防护系统的概念和模型,其采用分层、分布的结构, 兼有负载均衡的思想。(3) 提出一种新的基于统计的检测方法,其中采用了基于支持向量机的入侵检测算 法,探讨了提高检测准确率的问题。(4) 探讨了主动响应机制,提出了分布式网络防护系统中采用的基于策略的主动响 应机制。(5) 给出网络防护系统的部分实现,主要设计、实现了防护代理,它可完成对网络 数据的误用检测和基于统计的异常检测。入侵检测技术是有效的安全技术,与传统的防火墙等安全技术相比,有其独特的特点。研究适合新的应用要求的入侵检测技术,将给我国的国防安全、网络应用、信息安全等提供可靠的保障。