入侵检测是系统安全防御体系中继防火墙之后又一项重要的安全技术,可以在系统入侵的全过程对系统进行实时检测与监控。入侵检测系统能在入侵危害发生前,检测到入侵攻击,并利用预警与防护系统驱逐入侵攻击;在入侵攻击过程中,能及时报警,并将入侵攻击造成的损失减至最小;在入侵攻击发生后,可以收集相关信息,作为入侵特征,添加入知识库内,以避免系统再次受到入侵。随着网络规模的不断扩大和入侵手段的不断更新,对入侵检测技术也提出了更高的要求。 本文在研究现有入侵检测技术国内外发展现状及发展方向的基础上,提出模式匹配和协议分析技术相结合的思想。在深入研究入侵检测系统常用的模式匹配方法的基础上,提出了改进的模式匹配算法(NMSA),并将新一代的协议分析方法应用到网络入侵检测系统(NIDS)中,使误用检测和异常检测方法相结合,并详细给出了基于模式匹配和协议分析的网络入侵检测系统模型和设计过程。最后通过实验证明系统具有较高的检测率、检测效率和可用性。 论文共分六章。第一章为文献综述和问题提出部分;第二章建立了基于模式匹配和协议分析的网络入侵检测系统整体框架,主要包括6个模块:网络数据包捕获模块、规则解析模块、数据分析模块、入侵响应模块、数据存储和报表生成模块、分析控制中心模块,并对部分模块进行了分析设计。第三章建立了事件描述语言,用于描述入侵特征,阐述了特征选择、规则格式、规则选项和规则解析等,并针对snort规则解析方法的不足,增加宽度搜索,提高了检测效率。第四章着重讨论快速多模式匹配算法NMSA,并将算法应用于系统。第五章讨论了协议分析原理,在系统设计中实现了TCP/IP协议分析过程,并针对一些经常变化方式的入侵行为,将状态协议分析技术应用其中;在此基础上将模式匹配技术和协议分析技术结合,构建了分析引擎模块。第六章通过实验证明系统具有较高的检测准确率、效率和较好的可用性。