随着网络规模的不断扩大和黑客攻击手法的日益复杂,人们对于网络安全的需求与日俱增。单纯的防火墙无法防范复杂多变的攻击,入侵检测技术应运而生。网络入侵检测是一种动态安全防护技术。该技术通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,为网络系统提供保护。市场上主流的入侵检测系统(IDS)产品经常发出许多误报,误报往往掩盖了真攻击。在被测试的IDS产品中,有些产品在误报重负下一再崩溃,而当真正攻击出现时,有些IDS产品不能捕获攻击,而另一些IDS产品的报告混杂在假警报中,很容易被错过。作者希望可以通过本文提出一些网络入侵检测系统(NIDS)改进的思路,解决现有NIDS的问题,让其发挥更大的作用。本文首先对传统NIDS体系结构深入的研究分析,得出现有NIDS存在的问题,即:1.误报漏报严重,信息量大、有效率低。2.报警信息较难区分重点。因此,NIDS的根本问题是“数据有效性低,针对性不强”。而造成这个结果的原因是NIDS对所处网络环境了解太少,缺乏针对性。本文希望NIDS通过被动探测为主、手工输入为辅的发现方式对所处网络环境有更多的认识,在此基础上对发生的报警信息有针对性的处理,进而可以更加有效的工作。随后介绍了一下“被动网络特征发现”的研究情况,为NIDS的改进提供了理论支持。本文使用Java语言设计了一个基于Web的网络拓扑信息(NTI)获取系统,构建了NTI分析器;采用“旗帜信息(Banner)识别服务软件、操作系统”的方法对网络拓扑进行认知,并创建了NTI数据库。然后将NTI分析器、NTI数据库应用到NIDSSnort中。改进后的NIDS实现了对所处网络环境的拓扑发现功能,面对一条发生的入侵攻击,可以比对“有针对的入侵规则”和此攻击对象的特征信息,在此基础上判断入侵是否有效,并在反馈给用户报警信息中体现出来。最后,本文分析了本文取得的成绩和存在的问题,对课题的总体情况加以总结,把一些想到但是没有实现的一些思路提出来,展望一下未来的工作。综上,本文是通过对现有的NIDS分析,认识到存在的根本问题,并提出、实现了一些粗略的改进想法,作为一种探索研究,希望能有起到打开思路、抛砖引玉的作用。