随着网络规模的不断扩大和广泛应用,网络受到的威胁越来越多,越来越复杂,网络的安全防护也变得越来越重要。网络安全是一项动态的系统工程,单一的安全产品很难满足网络安全建设的实际需要,组建由防病毒、防火墙、网络入侵检测、漏洞扫描等多种安全产品协同作战的立体安全体系已成为业界和用户的共识。 在立体安全体系中,入侵检测系统不仅可以检测外界非法入侵者的恶意攻击或试探,而且可以检测内部合法用户超越使用权限的非法行为,网络入侵检测作为一种积极主动地安全防护技术,借助其动态和主动的工作原理,成为联动各静态防护技术的关键环节,是网络安全研究中的一个重要课题。 本文首先介绍了网络安全方面的知识,包括网络的不安全因素、网络安全的策略和两种不同的网络安全模型等;然后详细论述了入侵检测方面的知识,包括入侵检测的定义和分类、入侵检测原理、入侵检测的标准化等方面的内容。 本文重点研究了传统的特征分析技术和一种新的入侵检测技术——协议分析技术。目前大多数网络入侵检测系统主要采用的是特征分析技术,该类系统漏报误报率高,检测速度低,检测准确性差,而协议分析技术能够提高入侵检测系统检测的准确性,降低漏报和误报率,提高检测速度。 在理论研究的基础上,本人研究并建立了基于协议分析技术的入侵规则描述语言,提出了系统的设计目标和实验环境,对系统进行了总体的设计。该系统划分为八个模块:入侵检测系统的数据包捕获模块、协议解析模块、规则库、规则解析模块、存储模块、入侵检测模块、响应模块和界面控制模块。 最后本人在LINUX平台下设计实现了一个基于协议的网络入侵检测系统。