随着计算机网络和Internet的发展,网络安全越来越受到人们的关注和重视。网络中存在着越来越多的非法攻击行为严重影响网络的性能并威胁着个人隐私的安全。入侵检测系统正是在这种应用背景下发展起来的,它的目标是对所有企图穿越被保护系统安全边界的行为进行识别并提供可能的响应功能。近些年来,随着网络技术的发展和免费代码的大量公布,攻击者同时也加强了对入侵检测系统的研究,网络攻击的发展比较迅速,在规模上从零碎的小规模的个人攻击发展成为大规模的、分布式和有组织的入侵;在攻击手段和工具上,发展得更加具有隐蔽性和破坏性;在攻击频率和次数上,呈指数型增长。本论文在“高速IP网的网络运行监测和保障系统”,简称COMON系统的背景下,以Monster系统2.0为基础,着重研究了面向会话的入侵监测模型,并将该算法应用于Monster系统3.0中,即一个具有入侵检测能力、响应能力和防火墙能力的入侵预防系统(Intrusion Prevention System)。首先,论文论述和分析了目前流行的滥用检测技术,结合应用背景的需要,给出了会话的基本概念和原理,并提出了一个面向会话的入侵检测模型。这个模型包括两个步骤:首先根据网络中的报文重构会话,然后在会话的基础上进行入侵分析。会话重构算法的思路是采集网络中的报文,根据TCP连接的四要素――源地址、宿地址、源端口和宿端口,将报文重构成会话,然后根据TCP层或高层的语义将会话分界为多个句子。考虑系统的性能问题,论文对网络中的会话流进行了研究,以使系统的设计更加合理,并利用研究结果评估了系统的复杂度。其次,论文着眼于检测系统的误报率和漏报率,分别研究了面向句子的检测模型和句子上下文相关的检测方法。面向句子的检测模型首先给出了一个基本的模式匹配方法,然后针对模式匹配的三个要素――模式串、正文串和匹配算法进行了模型扩展,提出了新的检测思路和算法。接着通过构建状态转换机,解决了句子之间的上下文相关关系的检测问题。检测模型对规则的设计和编译也作了论述。论文接着探讨了如何将基于会话的检测技术集成到Monster系统中。检测分析模块在Monster系统中提供了单报文、报文上下文相关和面向会话等三个具有不同检测粒度的检测能力的分析器。论文构建了一个系统框架,将多个分析器协调有序地分工合作,从而将面向会话的入侵检测能力集成到Monster系统中。论文最后作了简要的总结,回顾了已完成的工作,指出了其中的不足,并对未来工作进行了展望。面向会话的检测模型在已有的入侵检测模型的基础上,从检测对象、匹配算法等多个方面对原有模型作了推广和扩展,不仅增强了Monster系统的检测能力,而且为基于会话的网络行为学研究提供了基础设施。