入侵检测系统通常包括事件产生器、事件分析器、响应单元以及事件数据库四部分。其中,事件分析器又是我们入侵检测技术的关键部分。在网络入侵检测系统的事件分析器中,截获网络的每一个数据包,都要进行分析、匹配,这就需要花费大量的时间和系统资源。大部分现有的网络入侵检测只有几十兆的检测速度,随着百兆、甚至千兆网络的大量应用,入侵检测的速度已经远远落后于网络速度。对于这一检测速度的瓶颈,对此我们改进了AC-BM算法以解决这一问题。除了入侵检测系统外,我们的计算机中还可能使用了防火墙、漏洞扫描等其他类别的安全设备,这些安全组件之间如何交换信息,共同协作来发现攻击、作出响应并阻止攻击关系到整个系统的安全性。另外,对间谍软件和广告软件的检测也是一个令人头疼的问题。对此,我们在改进了的AC-BM算法的基础上建立了具有主动防御能力的主动防御模块以解决问题。介绍了一般的入侵检测系统的概念、模型,入侵检测技术的分类。然后,描述了网络入侵检测系统的CIDF模型,以及入侵检测存在的弱点和局限性,从而引出了我们课题研究的意义、现状和背景。阐述了数据采集的原理。因为我是在Linux操作系统下,用Libpcap库函数实现的数据包的捕获,所以就介绍一下Libpcap的有关函数和数据结构。重点阐述了网络数据包的捕获程序,并输出了实验结果。简要介绍了TCP/IP的四层模型、数据报的封装过程,IP、TCP等协议的格式和数据结构。这些是非常重要的,因为它们是进行数据报协议分析、负载分析所必须的。当然,重点还是放在了介绍数据分析的原理、模块设计、程序实现上,最后输出实验数据。我们自己改进了一种算法。重点介绍了怎样改进AC-BM算法,介绍它的工作原理,详细叙述了它的算法实现、测试结果、结果分析。组建主动防御模块,用它来实现多层次的纵深防御,实现了和其它安全设备的互动,探索了检测反扫描、反间谍软件、反广告软件的功能。最后是结论,并介绍了今后需要进一步完善的工作。