随着互联网的普及和网络技术的发展,网络已深入到社会和人民生活的方方面面,带来了极大的便利。然而伴随着互联网及其技术的发展,网络安全问题随之而来,并日趋严重。为保证互联网的安全、稳定、高效的运行,解决各种各样的网络安全问题,单纯依赖传统的防火墙技术已经越来越不能满足需求,入侵检测技术孕育而生。入侵检测,即根据一定的规则,对目前系统的行为或网络数据进行捕获、分析和判断,从而确定当前系统是否被入侵。根据受保护对象的不同,入侵检测技术分为基于主机的入侵检测系统和基于网络的入侵检测系统。基于主机的入侵检测系统是对受保护主机的网络数据、主机行为进行监控,如主机接收到的数据包、主机系统日志、审计日志等,根据相应规则进行判断,从而确定当前主机是否被入侵。基于网络的入侵检测系统对受保护系统的网络数据进行捕获分析,并根据相应的规则,如数据包特征、数据流特征等,进行判断,从而确定当前网络中是否含有攻击流或恶意性为。入侵检测系统能够对威胁计算机资源的行为进行识别和响应。作为一种主动的网络安全防护措施,它在入侵行为发生的前中后期都能起到很好的效果。本文首先对国内外入侵检测系统的研究现状做综述,提出目前主流检测系统存在的问题和发展趋势,在总结了入侵检测系统的概述和一般体系结构后给出自己系统的设计思路。设计并实现了一个基于特征的入侵检测系统。系统通过整合基于规则的入侵检测子系统、恶意网络行为分析子系统及协同分析子系统进行联动分析,采用应用层组包和分析、Rookit检测和驱动过滤等多项技术,实现了特征、行为和语义等多种模式相关联的检测方法,采用立体交叉机制对网络安全事件的恶意性进行综合分析评判。基于规则的入侵检测系统根据包特征及流特征对网络数据流进行监测,并将检测结果,如可疑链接提交并驱动各交互系统。恶意网络行为分析子系统浏览用户访问的网页,并对其产生的各种操作进行深入剖析,即捕获因浏览网页而产生对访问机的操作,如修改注册表,添加、修改和删除文件,创建远程连接,创建进行等,并给出当前行为的威胁指数。协同分析子系统将各子系统的分析结果进行汇总分析,并依据结果权值和评估标准给出最终判定。通过各子系统分析结果及网络拓扑,定位网内受影响主机,追踪恶意网络行为源头。实验结果表明,该系统可提高网络安全事件的判断能力,减小了误报率,降低了漏报率,不仅可以检测攻击行为,而且可以追踪网络安全事件对主机产生的影响及网络攻击的蔓延情况。