随着电子商务的发展，网络安全性得到空前重视。入侵检测系统(IDS)能够捕获并分析网络中的所有数据包，发现其中的攻击企图，根据事先制订的策略通知管理员或自行采取保护措施。传统入侵检测系统对出入子网的单个IP包的内容进行检测。当入侵者将敏感信息分成小包发送时，由于传输的数据流被分拆，因此在单个IP包内失去了信息特征，入侵检测系统对此类攻击将无能为力，不能进行正确判断。基于数据流重组技术的入侵检测系统抛弃了传统入侵检测系统只检测单个IP包的做法，改为将多个孤立的IP包重组后再进行检测。数据流重组恢复了完整的应用层数据，为入侵检测系统进行完整的数据分析提供了基础。本文对IP分片重组进行了系统性的研究，分析了分片重组过程中的安全性问题，详细的分析了几种IP分片重组算法的主要思想和优缺点，并针对RFC815算法的效率和安全性做出了改进，提出了一种基于改进的RFC815和伸展树的IP分片重组算法。它能够高效的完成IP分片重组，且具有很好的安全性。TCP流重组是数据流重组的关键，也是进行应用层分析的基础。本文详细的分析了TCP协议以及TCP连接状态管理，并讨论了在TCP流重组中存在的一些问题。为了保证正确、高效的重组应用层数据，本文提出了一种基于伸展树的TCP流重组算法。论文还对网络数据包截获原理和方法进行了深入的分析。BPF是基于内核的过滤模块，基于BPF过滤机制的包捕获工具包libpcap能够高效的捕获数据包。论文使用libpcap工具包实现了数据流重组的原型系统，该系统能够跟踪TCP连接状态并能完整的对应用层数据进行重组，达到了预计的效果。