信息技术的普及与发展已把人类社会推向了网络化的时代。Internet已经成为一些人日常工作和生活的一部分,给人类社会信息化提供前所未有的机会。然而互联网是一个面向大众的、开放的网络,对于信息的保密和系统的安全考虑得并不完备,对于非法侵入、黑客攻击、保密性信息泄露等安全问题难以维护。入侵检测就是检测任何企图损害系统保密性、完整性、或可用性的行为的一种网络安全技术。它通过对运行系统的状态和活动的监视,找出异常或误用的行为,根据预先所定义的安全策略,分析出非授权的网络访问和恶意的行为,迅速发现入侵行为和企图,为入侵防范提供有效的手段。本文提出了一个分层检测的NIDS系统框架结构。在一个开源入侵检测系统的基础上,我们改进并实现了该分层检测系统。在入侵检测系统框架、入侵检测系统引擎核心算法,应用层检测和入侵平台模拟等方面进行了深入、细致的研究工作。首先,本文介绍了入侵检测研究的发展状况,在已经成熟的通用入侵检测系统框架基础上提出了一个新的分层处理框架结构,将入侵检测的模块功能进行细分,并且对每个新增加的模块的功能及其相互的连接关系进行了详细的功能描述。其次,按照入侵检测框架结构,由下至上,分别对检测引擎算法,也就是字符串匹配算法,和基于应用层重组的检测进行了实现。首先设计了一个多用途的测试程序,对20多种匹配算法进行了实现和比较,对算法做出了全面的测试和性能评价,理论分析和试验结果为算法的选择提供了可靠的依据。其次,本文介绍了基于事件触发的应用层重组入侵检测系统Bro,在深入分析Bro的安装、配置、扩展的基础之上,进一步提出了改进的方法,并利用其提供的扩展语言开发了对几种入侵进行检测的策略文件。最后,本文实现了一个通用的入侵检测评估平台,详细介绍了平台的设计过程,模块结构,技术实现等内容,利用该平台可以实现对网络数据进行记录,存储和回放,并且可以对多种攻击情况进行模拟和定制。