入侵检测是一种动态监控、预防或抵御系统入侵行为的安全机制，已经成为动态安全工具的主要研究和开发的方向。 入侵检测系统能在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。在被攻击后，收集入侵攻击的相关信息，作为防范系统的知识，加入到知识库内，增强系统的防范能力，避免系统再次受到入侵。作为保护计算机和网络系统的第二道防线，入侵检测系统的应用越来越广泛。 入侵检测的发展最终需要依靠核心技术——分析技术的改进。现有的入侵检测分析技术主要有：统计分析、模式匹配、数据重组、行为分析等。这些技术无法适应高速网络环境，算法处理和规则制定的难度大，不能完全满足现今入侵检测系统的需求，有待进一步完善和新技术的开发。 本文主要研究了入侵检测技术中的模式匹配技术、数据挖掘技术和协议分析技术。模式匹配技术具有准确率高和误报率低的优点，但只能检测已知特征模式入侵，不能检测出新的入侵方式或已知入侵方式的变异的问题。通过利用数据挖掘技术挖掘新的入侵特征，改善单一运用模式匹配技术的这一缺点。而利用协议的规律性，对协议进行合理分析，检测时沿构造的协议树的一条路径进行，可以较大程度上减少了计算量，提高整个数据分析的效率。本文改进了BM算法，对文本中搜索不同模式串所用时间及其比较次数进行了测试。结果表明新算法BG1每次查找所匹配的次数最少，效率方面与BMH算法接近；新算法BG2每次匹配的次数少于BM算法，效率方面与BM算法接近。通常在查找的模式串P中的字符在文本T中出现的重复率高时，新算法的效率明显高于BM算法和BMH算法。通过分析当前的主要网络协议，给出了协议分析的流程图。利用关联规则apriori算法对网络数据集进行挖掘，将挖掘的关联规则分析筛选后按Snort规则转换成入侵规则。探讨了入侵检测系统测试评估的内容，以Snort入侵检测系统为基础，设计开发了入侵检测系统的检测分析部分，并对该入侵检测系统进行了测试。结果表明该系统对已知入侵具有较高的检测率，并能够检测出一些未知入侵，其漏报率及检测率分别为2.80％和97.20％。