随着现代生活中网络的发展,人们在日常生活中越来越离不开网络,网络的安全性也开始变得越来越重要。如何发现网络系统中存在的安全隐患便是一个值得研究的问题。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、加密技术、入侵检测技术、防病毒技术、PKI技术等。本文主要讨论和涉及的为其中的入侵检测技术。常见的入侵检测技术的应用即为IDS,作为成熟的产品,其使用的技术、稳定性、可靠性等均已经达到了一个十分优秀的程度。IDS既有硬件产品也有软件产品,国内外多家厂商均推出了自己的产品,但在笔者实际工作过程中,由于各种现实条件的限制,需自行设计一款流量分析软件来检测网络系统中可能存在的安全隐患。在实际的安全检测工作中,由于不能改变对方的网络拓扑环境,故需要在网络中通过交换机镜像等方式旁路获取网络系统中的流量数据。但由于该流量数据中包含了流经整个网络节点的所有数据,其中必然存在着大量的低价值数据,如网络中常见的视频流和音频流数据。此类数据在判断网络系统中存在的安全问题时价值很低,连同其他的低价值数据占据了网络系统中的大量流量,对网络系统分析过程造成了不可忽略的干扰。故在过去,在工作中得到的流量数据仅能够作为存档的历史证据保存,不能为分析对方的网络系统提供有价值的信息。如何从如此大量的信息中提取对工作有用的信息便是本程序的出发点。本文首先阐述了自主编写软件的必要性,详细讲述了在软件编写前便有的前期条件,在列举了实际工作中遇到的各项限制条件和要求后,设计并实现了一款专用软件。该软件结合入侵检测的技术,通过使用入侵检测技术中的两大分类:误用检测技术和异常检测技术来分析已有的网络流量数据。基于对已有的标准PCAP格式文件进行分析,提取其中的有效数据并加以整理,能够有效的提高目前的工作效率。文章通过对现有的需求进行分析,考虑工作中的实际环境,设计了三大功能模块:数据处理模块、处理分析结果模块和定制分析模板模块,实现了对标准PCAP格式文件的解析并提取有效信息。软件对PCAP文件中含有的日常工作常见的几种网络协议进行了统计和分析,并能按照一定的格式输出分析结果,为网络流量数据中是否存在危险行为提供了依据,也为再次利用过去留下的网络流量数据提供了可行性,为笔者的工作带来了便利,有效的提升了工作效率。