随着网络安全问题的日益严重,入侵检测系统(Intrusion Detection System,缩写:IDS)已经成为计算机与网络安全的重要组成部分。随着网络带宽的不断增加,由于处理能力的限制,现有入侵检测系统面临挑战,如何提升IDS的处理能力备受关注。提升硬件的处理速度是常用的方法,然而,硬件处理速度的提升却远远跟不上网络带宽的增加速度,IDS的处理能力面临着瓶颈。数据包采样是提升数据包处理能力的很好方法,在网络流量监测分析中得到了广泛应用。然而,传统的数据包采样算法,都是针对网络流量监测所设计的,初始设计时并没有考虑应用在入侵检测中。近些年来,逐渐开始有研究者开始研究入侵检测中的数据包采样算法,分析了几种传统的应用于网络测量中的数据包采样算法,验证了这些算法直接应用在高速链路入侵检测中的不适用性,但并没有提出新的有效算法。基于此,本文将针对高速链路入侵检测研究新的数据包采样算法。本文的主要研究内容和工作成果如下:1.分析了网络中典型的入侵攻击方式,通过对经典数据集进行入侵检测后的日志统计,得出入侵过程的一个重要特点:入侵攻击过程在时间上具有连续性。依据此特点,为高速链路中的入侵检测设计了一种新的数据包采样算法。2.在入侵检测系统Snort的基础上设计实验平台,把Snort数据包捕获速率从百兆提升至千兆,使其能应用于真实高速链路中的实验。3.搭建真实高速链路环境,利用新设计的实验平台对采样算法进行实验。实验结果证明,新的数据包采样算法在高速链路下可以大大提升检测速度,同时,与传统数据包采样算法相比,有更高的检测成功率。