随着计算机网络技术的发展,网络攻击从单一攻击源、简单的攻击模式向大规模多层次入侵、复杂的攻击模式发展。攻击者采用各种网络技术实施逃避网络入侵检测的攻击,导致网络入侵检测系统的漏报,对网络入侵检测的准确性提出了更高的要求。本文针对逃避网络入侵检测的攻击展开研究,分析了利用攻击数据包在网络终端及网络入侵检测系统间的歧义逃避网络入侵检测的攻击。目前该领域的相关研究缺乏对歧义的通用描述和定义,对歧义的处理方式也较为简单,没有充分考虑到实际应用环境。因此本文明确了歧义的定义和概念,对IP、ICMP、TCP和UDP这四种网络协议中出现的歧义及其矫正方案作出详细的分析和论述。同时提出并设计实现了NIDS歧义流量矫正系统,通过对网络流量中的歧义进行矫正,例如在IP层对IP分片进行重组和重叠矫正以及在TCP层对TCP重叠分段进行矫正,维护网络数据在网络入侵检测系统和各终端系统行为的一致性,使隐藏在网络流量中的Insertion和Evasion攻击被有效地检测。论文最后给出对系统的功能测试与性能测试。本文提出的歧义流量矫正系统能够有效地对网络歧义流量进行矫正,内核实现方式保证了该系统作为网络串行设备的性能。对于研究逃避网络入侵检测的攻击以及维护网络入侵检测系统的准确性具有积极意义。