随着IPv6网络部署过程的高速发展,IPv6协议中IPSec技术的安全问题逐渐显现,这成为了人们研究的热点。而入侵检测作为一种网络安全防护技术,更是一种解决安全问题的重要手段。因此,基于IPv6下入侵检测系统中关键技术研究对网络信息安全具有重要现实意义。本文采用开源Snort入侵检测系统(IDS)作为主要研究平台。但Snort对未知入侵行为无法检测,其自学习能力不高,且无法有效检测IPv6数据流和经过加密的IPSec数据包,检测速率低,系统稳定性不高。针对以上问题,本文结合了IPv6协议技术的特点对入侵检测系统的相关技术进行了以下研究:网络中有不同的被入侵对象,有针对主机的和针对路由器等具体网络设备的,还有针对整个网络的等等。不同的被入侵对象和入侵行为会有不同的检测方法和技术。本文针对不同的被入侵对象和入侵行为,基于Snort系统的不足,设计了一种多对象入侵检测方法,从而有效发现入侵行为以及网络的异常行为。这种多对象入侵检测方法的核心是在研究分析并比较了字符串匹配算法KMP、字符串搜索算法BM和AC自动机三种经典模式匹配算法的基础上,提出一种新的字符串搜索算法DAC-BMY改进算法,该算法对字符串匹配效率和检测性能有较大的改善。同时,多对象入侵检测方法还集成了基于信息熵的协议分析技术,该技术通过降维技术,可以大幅度减少匹配的计算量。本文采用多对象入侵检测方法,对Snort开源系统的预处理插件、协议解析两个模块进行了重新设计与实现,还增加了一个独立针对IPv6加密的IPSec数据包的检测,形成了一个改进后新的基于Snort的多对象入侵检测系统,简称为MIDS。MIDS系统共有四个子系统,分别是基于网络的入侵检测子系统(集成改进于原Snort)、基于主机的入侵检测系统(新增)、响应子系统和监控子系统(继承于原Snort)。分别负责数据包捕获、数据包解析、预处理、检测引擎、输出报警等功能。实验表明MIDS系统运行正常,此外,多对象入侵检测方法对入侵检测系统的匹配效率和性能有显著的改善,减少了匹配的工作量,解决了Snort系统无法有效检测IPv6数据流和经过加密的IPSec数据包的问题,加强了Snort的自学习能力,并提高了系统性能和系统的稳定性。