当前，随着网络上低层防御措施的加强，以往通常发生在低层的攻击，如分布式拒绝服务(Distributed Denial of Service，DDoS)攻击等，逐渐向应用层转移，以高层服务器资源作为攻击目标。越来越多的网络攻击和病毒都出现在应用层，因而在应用层级别上加强对网络的防护就成为了当务之急。在这种情况下，一项创新的网络数据包检测技术便应运而生——深度包检测技术DPI(Deep Packet Inspection)，它采用状态监测和应用检测结合的方式，通过特征字符串的匹配，以处理应用程序在网络中产生的流量。 本课题是国家863项目“基于应用行为规范的网络主动实时防护系统”的一个子课题，采用深度包检测原理，深入分析已知的常用应用层协议，如HTTP协议、FTP协议、POP3协议和SMTP协议等，通过抓包软件Wireshark等工具解剖数据包，提取收集协议特征关键词，在Linux的L7-filter—userspace平台上使用多模式字符匹配算法来检测数据流中的关键词/关键特征，识别数据流的应用；在识别的基础上，跟踪数据流的状态，并对各个关键词间转移的时间间隔及字节长度等进行统计，从而能够迅速检测出应用的异常行为，不再需要人工从海量的数据中，判断是否存在攻击和威胁。 实验结果表明，本文设计的系统可以识别出HTTP协议、FTP协议、POP3协议和SMTP协议等的数据包，准确有效地检测数据包所包含的关键词/关键特征，把检测结果作为对应用会话过程的观测值，从而达到检测用户行为，发现有害网络行为的目标。