随着信息网络在社会各领域的全面应用,信息安全问题越来越成为人们关注的焦点。信息网络的作用就是给各行业的人们提供一个生产、生活上的信息交流平台,而信息交流的基本要求是安全。正是由于信息安全的重要性,不管是科研上还是商业上,投入网络安全的关注逐年增加。现有的安全产品有防火墙、入侵检测系统、杀毒软件三大类,而且发展越来越成熟,功能越来越强大,各种安全产品有综合化、融合化、相互配合和共同协作的发展趋势。但是在有很多的安全机构、逐渐壮大的安全队伍和逐步完善的安全产品的同时,CERT的安全报告显示近年的网络入侵事件呈逐年上升趋势。近年来蠕虫病毒的泛滥对网络安全提出了新的挑战,现有针对来自外部的威胁在网络边界上部署安全产品的安全防范手段面临了以下的挑战:移动PC带来的蠕虫问题无法解决,网络边界模糊化导致边界保护更加困难,远程拨号、VPN、无线局域网等的应用使的网络不再局限于防火墙所圈定的范围。本论文的工作以江苏省科技计划项目“主动式安全防范系统的研究”(课题编号BG2004036)为背景,用基于主机的入侵数据包检测系统(HIPDS)来解决移动PC的安全防护问题,作为主动式安全防范系统的一个必要的组成部分。移动PC带来的蠕虫问题主要是由于单台主机在移动的过程中会受到病毒的攻击,从而自身成为潜在的攻击源和传播源;而基于主机的入侵防护系统(HIDS)的保护对象就是单台主机,因而安装了有效的基于主机的入侵检测系统(HIDS)的主机就可以防范在单机移动时受到的攻击。本文介绍的HIPDS包括数据采集分析模块、入侵规则数据库、入侵检测引擎三个部分,总体思想就是采用模式匹配、异常数据包基于规则的检测方法来构建适用于单台主机的安全防护系统。本论文工作主要涉及了以下方面:1)提出了利用基于误用检测的方法来实现HIDS的思想2)应用WinPcap设计了数据采集、分析模块3)设计了适于本文所设计模型的攻击描述规则4)利用非确定型有限自动机实现了入侵检测引擎