随着计算机网络的普及和广泛应用,网络安全形势变得日益严峻。入侵检测系统作为网络动态防御的主要手段,可以提供对内部误用与外部攻击的实时检测,较好地解决了网络安全面临的问题。但是,由于传统技术的不足与网络攻击水平的提高,入侵检测系统也需要不断发展。本论文是项目“网络主动入侵防御系统”下的子课题。本论文针对现存的入侵检测系统(IDS)逃避技术的特点,提出了一种新的解决方法,利用动态映射系统模型(Active Mapping)来解决网络拓扑结构的复杂性、TCP/IP栈策略的多变性对网络入侵检测系统(NIDS)造成的模糊性问题,提高了NIDS的检测能力。论文从结构上主要分为五部分。首先,本论文对入侵检测系统的组成、分类及评估和目前在各方面存在的问题等内容进行介绍。在第二部分中对入侵检测系统的脆弱性与安全度进行分析,并简要介绍了存在的各种反入侵检测技术。在第三部分中首先参考网上现成的源代码编写了IDS基准测试工具-Tester,该工具主要是针对利用网络层和传输层的弱点进行逃避入侵检测的测试。通过该工具与第三方黑客软件—fragroute相结合,对入侵检测系统软件--Snort进行测试,从结果的分析中得知网络入侵检测体系所面临的语义模糊性问题是造成漏报率和误报率很高的一个主要原因,入侵者就可能利用这一漏洞逃过NIDS的检测或者引起检测系统的误警。因此,在第四部分我们提出了一种有效的解决方法:动态映射系统模型。它能在最小的时间花费下获得更多所监视主机的信息,并且与NIDS结合可以知道数据包是否到达正确的主机上。借助动态映射数据库的NIDS就可以消除所在的单个主机对网络流量解释的模糊性问题。最后,对目前所做工作的总结,以及在今后利用动态映射系统数据库与NIDS相结合的工作的展望。