随着网络安全的不断深入,传统的网络安全技术暴露出很多问题,入侵检测技术作为一种积极主动的安全防御技术,越来越受到大家的重视。但是,入侵检测技术在发展中也存在很多问题,如抓包过滤的漏包,分析枚举的浪费,匹配算法的低效,静态识别的局限,各种技术的孤立等。本文首先对网络安全和入侵检测进行了理论研究,并通过分析,确定了本文研究的理论基础。其次,对网络入侵检测系统的重点模块进行了设计和优化,内容包括:一、设计抓包模块,讨论3种过滤方式并选择BPF作为过滤机制。二、设计分析模块,采用协议分析的方法,分层提取数据包各个字段的数据存入全局变量。三、建立一种通用的入侵事件描述语言,使系统能对新的入侵行为动态生成模式并添加到模式库中,解决了模式匹配只能识别已有入侵的问题,保持了模式库的低开销和高灵活度。四、设计检测模块,分两步进行信息获取,一是通过模式解析把模式库中的模式进行分解,提取入侵特征,二是按模块化的思想把分析模块的全局变量的数据放入检测模块的协议变量中。然后,按照三个步骤进行模式匹配,一是按关系组合进行匹配,二是按事件运算式的结构进行匹配,三是对整型变量进行匹配。五、对字符串匹配算法进行优化,在总结前人提出的单模式匹配算法如KMP、BM、BMH、QS、LED等和多模式匹配算法如AC、MWM、SBMH等的基础上,提出了快速移动、多模式匹配的AC-BMF算法,以及快速移动、高效匹配、多模式匹配的LED-SA-ACS算法,把移动速度和匹配效率统一于多模式的匹配之中。六、建立以网络入侵检测系统为核心,漏洞扫描、防火墙过滤、主机监控等联动的防御体系,引入主动响应。最后,对设计的系统和提出的算法进行测试,验证其取得了预期的效果。并对完成的工作进行总结,对下一步的工作进行展望。