计算机网络技术的飞速发展改变了过去以单机为主的计算模式,实现了分布式信息与信息交换环境。从“信息高速公路”到“数字地球”,信息化浪潮席卷了全球。计算机网络逐渐成为现代社会的中枢神经,与人们的日常生活联系越来越紧密了。随之而来的网络入侵事件的急剧增加使网络信息安全也日趋严峻和复杂化。入侵检测是指“通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”。入侵检测技术是为保证计算机系统安全而设计与配置的一种能够及时发现并报告系统中未授权或异常的现象的技术,它是一种用于检测计算机网络中违反安全策略的行为,它主动地对网络信息系统中的恶意入侵行为进行识别和响应,不仅检测和防御来自外部网络的入侵行为,同时也监视内部用户的未授权活动和误操作行为。其作用有威慑、检测、响应、损失情况评估、攻击预测和起诉支持等。一个经过适当配置的入侵检测系统可以同时发现不同渠道、采用不同方法和具有不同特征的攻击,并分别采用相应的响应措施。入侵检测系统对网络系统实施的是动态的和主动的防护,它具有其他各种安全措施无法比拟的优越性,是构成安全系统不可缺少的部件。本文研究了入侵检测系统在网络安全中应用和实现的几个问题。首先,对网络安全体系作了全面概述,介绍了目前常见安全技术手段,分析了入侵检测系统在网络安全中的重要作用。本文分析了著名的开源入侵检测系统Snort的新特性,对入侵规则、系统结构进行了详细的剖析,重点阐述了其新版本中采用的快速包分类机制和多模式匹配算法带来的性能提升,并分析和介绍了Snort的常用插件。在此基础上,实现了基于Snort的支持规则动态更新的入侵检测系统——Snorting。Snorting采用多线程技术,将检测线程与规则解析线程分离,这使它能在不丢弃数据包、不中断连接信息、不丢失统计信息的情况下对规则进行增加、删除或对插件进行重启。其友好的用户界面还能帮助使用者生成Snort规则,并能对Snorting自动配置。Snorting增强了Snort的通讯能力,使其结构更为清晰,为今后实现Snort的产品化、实现嵌入式IDS提供了准备。此外,本文在研究目前已有的入侵检测评估手段的基础上,引入多种测试手段,从各个角度分别对Snorting与Snort进行测试与评估,证明Snort本身的性能也较其过去的版本有显著提高,而Snorting能长时间稳定运行,没有带来性能的损失。