入侵检测作为一种积极主动的安全防护技术,它不仅能检测未经授权的对象入侵系统,而且也能监视授权对象对系统资源的非法使用。随着因特网应用的日益普及,基于网络的入侵检测也越来越受到重视。但是基于网络的入侵检测系统也面临着诸多挑战,例如:如何提高入侵检测系统的检测速度,以适应网络通信的要求;如何减少入侵检测系统的漏报和误报来提高其安全性和准确度等。本文首先介绍了网络安全问题、入侵检测的原理和IDS 的一般模型;然后重点对基于网络的入侵检测系统的关键技术进行了研究,分析了现有网络入侵检测系统在数据包截获和模式匹配检测等关键技术上存在的严重问题,并提出了积极有效的改进方案。主要改进如下: 第一、针对传统IDS 存在的高丢包率的问题,本文提出了一种改进的FHW 抓包法,并进行了详细的测试。测试结果表明,与传统的网络数据包捕获方法相比;在高流量环境中,采用此方法捕获网络数据包能显著降低丢包率。第二、针对传统模式匹配检测技术存在的计算量大、误报警率高等问题,本文提出了一种基于协议分析的智能匹配检测技术。该检测技术把传统的模式匹配技术和协议分析技术的优势结合起来,充分利用TCP/IP 协议的高度规则性来探测攻击的存在;从而显著地缩减了匹配检测的计算量,并提高了检测的准确率。采用基于协议分析的智能匹配检测技术对运算量的减少主要体现在两个方面: 首先,通过对协议分析后的某些特殊字段的值进行简单的比较就能检测出某些攻击,这样就不用进行运算量很大的模式匹配检测。这种简单的比较并不是进行从头至尾的特征串匹配,而是根据协议的规则性来精确定位某些特殊字段的位置并确定其值,然后直接比较这些特殊位置的值就可以了。其次,利用协议分析技术可以把匹配检测规则按照协议来进行分集,这样就可以缩小模式匹配的范围,从而显著减少了模式匹配的运算量。本文利用基于协议分析的智能匹配检测技术设计了一个基于协议分析的网络入侵检测系统PANIDS,并实现了其中的网络数据包捕获模块、协议分析模块以及网络数据包存储模块等关键模块。