随着计算机和网络技术在社会生活各方面应用的深入发展,计算机网络系统的安全已成为计算机科学研究的热点。随着网络技术的发展及攻击者技术的日益提高,单纯的防火墙已经不能满足安全需求,它无法控制内部网络用户和透过防火墙的入侵者的行为。因此需要采用多方位,多式样的手段来保证网络安全。在当前的网络安全技术中,入侵检测系统(Institution Detection System,IDS)无疑是最热门的技术之一。入侵检测技术能检测出针对某一系统的入侵或入侵企图,并实时作出反应。本文提出了城域网入侵检测系统的实现研究。交换机、路由器等网络设备是构成城域网的重要设备,许多网络瘫痪都与这些设备有关。特别是路由器,作为互联网络的核心设备,是网络安全的前沿关口。城域网入侵检测系统就是专门加强城域网核心部分安全性的一种入侵检测系统。本文设计的城域网入侵检测系统包括以下六个模块:网络数据包捕获模块、数据处理模块、分类器、分析模块、入侵规则库模块、入侵响应及控制模块。数据包捕获和处理模块主要是获取流经城域网的网络流量,包括所有协议端口、所有子网主机的所有交互数据,采用Sniffer技术与NetFlow技术相结合的办法,并以Linux为开发平台、以Perl语言为开发工具、将所采集的网络数据预处理成NetFlow格式。分析模块将定时分析采集后所生成的NetFlow数据文件,自动生成报表。这些报表主要产生城域网中各IP地址的流量和各种应用类型的流量报告。在入侵检测系统中设计了新的检测引擎,该检测引擎中的检测规则采用了与SNORT规则兼容的格式,并且结合Boyer-Moore快速字符搜索算法进行模式搜索。在分析和归纳了常用的阻断技术和入侵检测系统的部署方法的基础上,进而描述了基于校园网的阻断模块的设计原理和部署情况,实现了入侵检测系统与防火墙系统的有机融合。