当今,网络安全问题日趋严峻,传统的防火墙防护技术已经不能满足人们在计算机系统安全方面的需要,而入侵检测系统—IDS(Intrusion Detection System)随着近年来的不断发展,在网络安全防护方面正体现出越来越重要的作用,它是一种积极主动的安全防护技术,可以监视计算机系统或网络上的用户活动,发现可能存在的入侵行为,它是网络安全系统的一个重要组成部分,是防火墙的延续。当越来越多的公司将其核心业务向互联网转移的时候,网络入侵检测系统将在企业级信息安全中发挥其关键作用。 本文首先对现今网络安全问题进行了分析,讨论了现行的网络安全防护技术,然后对入侵检测系统作了一个整体的介绍,包括介绍入侵检测系统的历史、发展情况,以及入侵检测系统的分类、常见的入侵攻击方法、常见的入侵检测方法、入侵检测系统的标准化工作、入侵检测系统在网络上的部署,还有入侵检测系统的现状与不足,同时讨论了入侵检测系统未来的发展趋势。接着讨论了一个基于网络的入侵检测模型,该模型参考了CIDF规范,分为事件产生器、入侵分析器、入侵特征数据库、入侵响应和远程管理五个部分。基于此,设计并实现了一个入侵检测模型系统NetDetection,该模型系统的事件产生器使用了WINXP DDK的WINPCAP模块进行网络封包截获,通过符号链接的方式读取网络数据包,根据特定的协议对数据包进行分析和解码。然后根据用户设定的IP地址和特定端口对可疑数据包进行过滤,将截获的数据包内容显示出来并把情况记录在日志文件中,过滤后的数据包再进一步通过事件分析模块进行扫描攻击检测,同时将数据包内容显示在捕获图形窗口中,检测时通过从数据库中提取攻击特征并进行对比,从而发现扫描攻击行为,将攻击情况通过图形用户界面向管理员报告,并将攻击情况记入日志文件中。该系统对常见的TCP、UDP、ICMP扫描攻击行为进行检测。最后使用该模型系统进行了攻击检测实验,通过实验,发现该系统能检测出几种常见的扫描攻击行为。