入侵检测系统(IDS,Intrusion Detection System)是网络安全防护体系的重要组成部分,作为一种主动的网络安全防护措施,它能在入侵危害发生前检测到入侵攻击,并利用预警与防护系统抵制入侵攻击;在入侵过程中,能及时报警,并将入侵攻击造成的损失减至最小;在入侵攻击发生后,可以收集相关信息,作为入侵特征添加到入侵特征数据库中,以避免系统再次受到入侵。随着网络技术和规模的不断发展和扩大,入侵手段也不断的变化,传统的基于模式匹配的入侵检测技术已经不能适应入侵检测的需求。协议分析技术充分利用了网络协议的高度有序性来快速检测某个攻击特征的存在,大大降低了特征搜索所需的计算量,具备高速、精确和高效的特点,能够满足新的入侵检测的需要。论文共分为六章,全文框架如下:第一章:介绍了网络入侵检测的背景、意义、现阶段国内外研究现状和存在的不足以及发展趋势。第二章:综述了网络入侵的步骤、原理、分类,并对网络入侵检测的技术加以介绍。第三章:首先介绍了传统的单模式和多模式匹配算法,并在此基础上提出了一种基于有序二叉树的多模式匹配算法,有效地减少了匹配的次数并提高了匹配的效率。第四章:详细介绍了计算机网络中的TCP/IP协议模型以及其中的主要网络协议,并介绍了协议分析的原理与优势。第五章:建立了基于协议分析的网络入侵检测系统的整体框架,主要包括数据包捕获模块、预处理模块、基于协议分析的匹配检测模块、规则解析模块、数据存储模块及响应等模块;并分别对主要模块进行了详细地分析和设计。第六章:对论文进行总结并提出今后需要完成的工作。目前,基于传统模式匹配算法的入侵检测系统多存在以下问题,如匹配速度慢、检测的误报率和漏报率较高等。首先,本文在研究现有国内外入侵检测技术发展现状及发展方向的基础上,将误用检测和异常检测两种方法相结合,提出了将协议分析技术与模式匹配技术相结合的思想。相对于传统的模式匹配检测技术,有效的减少了匹配检测的计算量、误报率和漏报率。其次,在深入研究入侵检测系统中传统的单模式匹配算法和多模式匹配算法的基础上,结合其优点提出了基于多模式匹配算法的改进算法,提高了匹配的效率。此外,本文利用Splay树结构,通过构造两级Splay树有效的解决了IP分片及TCP流重组的问题。