入侵检测系统根据检测的数据源可以分为基于主机和基于网络的入侵检测系统。网络入侵检测系统可以实时地检测并分析网络的行为,根据分析的结果做出相应的安全防护响应。本文主要研究了Linux平台下基于协议分析的网络入侵检测系统,主要工作有:介绍了入侵检测系统的概念、分类及目前各种常见的网络入侵检测系统,分析了网络入侵检测系统的工作原理;对网络入侵检测系统进行模块化分析。重点研究并实现了Linux平台下一个入侵检测系统中网络数据包捕获、网络协议分析、存储和界面管理模块。在网络数据包捕获部分,讨论了Linux下的BPF机制,利用Libpcap函数库实现了Linux下网络数据包的捕获技术。在网络协议分析部分,详细讨论了IP、TCP、UDP、ICMP、ARP等协议的分析过程,协议分析得出的结果是入侵检测的基础。在入侵事件检测模块设计中对入侵检测方法进行了深入分析,比较了模式匹配技术和协议分析技术。在存储部分利用MySQL数据库来存储网络数据,可以供事后分析使用。在界面管理部分,利用GTK+技术实现了一个友好的、操作简单的图形化用户界面。最后,为了快速检测蠕虫的早期传播,研究了基于蠕虫载荷的异常检测和特征生成,根据载荷的相关性检测蠕虫的传播,并且在蠕虫传播的早期阶段自动生成特征。