目前,国内外很多的入侵检测系统都是基于误用的,主要采用模式匹配技术,在协议分析方面,主要针对TCP/IP的较底层的协议进行分析,对于应用层协议则没有进行分析,导致所捕获的每个数据包需要匹配规则的数量庞大,引起性能不足。本论文研究与改进了基于协议分析树的入侵检测技术,以提高入侵检测系统中数据包的检测效率为目的,为减少入侵检测系统的误报率、漏报率,提高入侵检测系统的性能提供了更好的基础。首先,在充分研究各种决策树算法的适用条件的基础上,采用信息增益理论对协议描述文件进行分类,创建一棵协议分析树来实现对入侵检测规则集的优化,从减少规则匹配区间的角度,大大减少了检测攻击的匹配时间。同时应用层协议分析的实现,降低了基于误用的入侵检测系统的误报率、漏报率,提高了系统性能。其次,通过研究TCP/IP协议族,特别是它的应用层协议,并对各种入侵检测系统入侵特征描述方法进行了分析比较,在此基础上,设计实现了一种协议描述文件的方法,该方法利用BNF语法对TCP/IP协议族的每个协议定义了一个或多个协议描述文件,来充分描述每个协议的特征。最后,利用典型的网络入侵检测系统Snort实现了改进的利用决策树进行协议分析的入侵检测系统。并利用它进行了三个实验,来与前人的研究结果进行比较,结果表明,基于协议分析树的入侵检测系统在检测数据包的效率方面有比较大的提高。