随着计算机和网络技术在社会生活各方面应用的深入发展,计算机网络系统的安全已成为计算机科学研究的热点。随着网络技术的发展及攻击者技术的日益提高,单纯的防火墙已经不能满足安全需求,它无法控制内部网络用户和透过防火墙的入侵者的行为。因此需要采用多方位,多式样的手段来保证网络安全。在当前的网络安全技术中,IDS(Intrusion Detection System,入侵检测系统)无疑是最热门的技术之一。入侵检测技术能检测出针对某一系统的入侵或入侵企图,并实时作出反应。本文提出了城域网入侵检测系统的实现研究。交换机、路由器等网络设备是构成城域网的重要设备,许多网络瘫痪都与这些设备有关。特别是路由器,作为互联网络的核心设备,是网络安全的前沿关口。城域网入侵检测系统就是专门加强城域网核心部分安全性的一种入侵检测系统。本文设计的城域网入侵检测系统模块包括以下六个模块:网络数据包捕获模块、数据处理模块、分类器、分析模块、入侵规则库模块、入侵响应及控制模块。数据包捕获和处理模块主要是获取流经城域网的网络流量,包括所有协议端口、所有子网主机的所有交互数据,采用Sniffer技术与NetFlow技术相结合的办法,并以Linux为开发平台、以Perl语言为开发工具、将所采集的网络数据预处理成NetFlow格式。分析模块将定时分析采集后所生成的NetFlow数据文件,自动生成报表。这些报表主要产生城域网中各IP地址的流量和各种应用类型的流量报告;基于流量报告的基础,还可以根据需要做出趋势报告,即特征数据的时序分析。同时,为了保证入侵检测的实时性和准确性,本文提出城域网入侵检测系统的检测部分采用分层式数据分析,将第一层的模式匹配分析方法和第二层的数据挖掘技术相结合,来保证入侵检测系统的实时性和准确性。本文在设计入侵响应控制系统时,根据对传统响应系统的分析,提出了相应的改进方案,以适应当前安全技术的发展趋势。