随着计算机和网络技术的迅猛发展和广泛应用，Internet深入到社会的每个角落，人们充分享受到了其给工作和生活带来的巨大便利，人类社会对计算机系统和信息网络的依赖性也越来越大。但是从另一方面，由于计算机系统和信息网络系统本身固有的脆弱性，越来越多的网络安全问题开始困扰着我们，入侵者入侵和病毒蔓延的趋势有增无减，社会、企业和个人也因此蒙受了越来越大的损失。随着网络的应用，绝大部分计算机连入互连网，威胁变为主要来自网络，网络入侵工具(如蠕虫、木马等)在这时不断涌现。本文首先研究了木马程序的工作机理。木马程序是一类特殊的计算机程序，其作用是在一台计算机上监控被植入木马的计算机情况。木马程序的结构是典型的客户端／服务器(Client／Server；简称C／S)模式。早期的木马从设计理念来说很简单，只需要将木马植入计算机中，然后打开一扇后门(端口)，就可以通过此连接达到控制计算机的目的。打开端口的木马比较容易被用户或木马清除工具发现，所以便出现第三代木马。ICMP木马属于第三代木马，它不需要使用连接端口进行通讯，这样可以有效地绕过防火墙或是避免被木马清除工具消灭。通过网站控制的木马实际上也是C／S结构，只是木马客户端程序没有直接与服务器端程序通讯，而是通过中间层来完成。文章进一步研究了木马程序常用的攻击手段，并说明了相对应的木马程序开发技术。为了进一步研究木马程序的特性，本文提出了一种Linux下基于网络环境的入侵检测系统的设计与实现。讨论了该系统模型的体系结构，并对各个模块进行了介绍，包括网络数据包捕获模块、网络协议分析模块、存储模块、规则解析模块、入侵事件检测模块、响应模块和界面管理模块。基于网络的入侵检测系统根据网络流量、网络数据包和协议分析来检测入侵。数据包捕获模块的功能是按照一定的规则从网络上获取与安全事件相关的数据包，然后传递给入侵分析引擎模块进行安全分析判断。入侵检测模块将根据网络数据包捕获模块上接收到的包并结合网络入侵规则库进行分析，把分析的结果传递给系统管理模块。管理模块的主要功能是管理其他模块的配置工作，将分析引擎的结果以有效的方式通知网络管理员。最后，我们利用入侵检测系统对木马程序的行为和危害进行测试。通过验证前面提出的木马程序的工作机理和攻击手段，可以看出论文达到了预期目标，文中设计并实现的网络入侵检测系统也具有很高的实用价值。