随着信息技术和互联网的迅速发展,计算机网络与信息系统所面临的安全问题越来越严重。传统的安全技术大都属于静态机制,局限于防护环节,难以满足网络安全的需求。入侵检测技术作为动态安全模型P~2DR中检测部分的主要技术手段,能主动对网络和网络上的主机行为进行有效地识别和响应,从而检测外部入侵和内部误用,为网络提供安全保护。 目前国内外研究的入侵检测系统大多存在误报率高、检测效率低等问题,其主要原因是分析信息源和分析手段单一,系统结构简单。入侵检测系统从数据来源上可以分为基于网络和基于主机两大类,其检测方法主要基于异常检测技术或误用检测技术,而目前的入侵检测系统大多则是纯粹采用一种数据来源和单一的检测手法。针对这一问题,本文提出了一种构架灵活的混合型入侵检测系统,其特点是在数据源上结合网络和关键主机数据,在检测方法上结合异常分析技术和误用分析技术并提出了二层混合分析方法,同时在系统体系构架上可灵活扩展以适用于不同的网络环境。论文在研究混合型入侵检测理论的基础上,给出了混合型入侵检测系统的系统构架和功能结构,并详细介绍了几个关键模块的理论、设计和部分算法,联合分析模块根据信息融合理论采用可信度方法分析,通过已有专家知识,建立联合分析规则库,解析网络数据和主机信息特征。多样的信息源提高了混合型入侵检测系统的检测能力,而联合分析和数据融合技术保证了检测的准确性。论文最后说明了混合型入侵检测系统的测试方案和测试部署,为混合型入侵检测系统的实用性提供测试依据。混合型入侵检测系统经过不同环境的测试应用,表现了良好的稳定性。