随着网络的发展，人们基于网络的应用也越来越多，电子银行、电子商务等网络服务正悄然进入我们的生活。与之俱来的网络攻击也在不断地增加，或者是攻击我们的系统，或者是窃取我们个人的信息。人们已经意识到保证网络安全的重要性。 传统的安全技术：防火墙、访问控制、身份认证、数据加密这一系列技术为网络的安全提供了一定的保障，但他们都集中在系统的自身的加固和防护上，单纯的防护技术容易导致系统的盲目建设，防火墙策略对于防范网络入侵有其明显的局限性，防火墙防外不防内，防火墙的安全控制主要是基于IP地址的，访问控制和身份认证、加密技术本身也有缺陷。因传统的计算机安全理论和技术在当前多变的网络环境中不能有效的保护信息资源的安全，所以需要新的安全理论和技术，其中入侵检测技术就是典型的代表，入侵检测系统的研究和实现已经成为现在网络安全的重要课题。 入侵检测作为一种积极主动安全防护技术，它可以监视主机系统或网络上的用户活动，发现可能存在的入侵行为，及时对内部入侵、外部入侵及用户误操作进行检测，在网络系统中受到危害时候进行响应。其作用可以概括如下：识别入侵者、识别入侵行为、检测和监视已成功的安全突破、为对抗入侵及时提供重要信息和阻止入侵事件的发生和扩大。目前入侵检测系统所采用的技术可分为特征检测与异常检测两种，但目前的入侵检测技术处于发展阶段，还不够成熟。作者分析和研究目前国内外已有的典型入侵检测系统后，发现这些入侵检测系统都存在一定的漏检率和误检率，各方面的性能都需要加以研究和提高，已有的入侵检测方法和入侵检测系统都集中在对入侵行为特征的检测与分析上，比较“微观”，在宏观上对网络行为特别是流量行为进行分析检测的研究相对很少，在大规模的高速网络中难以有效的检测。本论文研究的目的就是尝试在该方面作进一步研究。基于校园网络的入侵检测系统研究 本文选择的研究环境是校园网络，由于高等院校的校园网具有高宽带、多主机、用户密集的特点，很容易使它成为拒绝服务攻击的存在的“土壤”，所以有必要对拒绝服务攻击进行检测研究，我们总结和分析了常见的拒绝服务攻击的特征，并结合校园网络的实际，提出了基于网络异常流量实时监测的入侵检测系统。该原型系统的设计基于网络行为学，网络行为学认为网络行为，包括网络流量行为，有长期特征和短期特征。网络行为的长期特征表现在网络行为具有一定的规律性、稳定性，而短期特征又表现出一定的偶然性、突发性。网络流量变化既有周期特征又有突发特征。在一个较长的时间段内，网络流量呈周期特征;在某个较短时间段内，网络流量会发生突发性变化。如果除去入侵攻击、病毒等因数所造成的网络流量异常增大的影响，正常网络流量曲线应该是趋于连续变化的，即使有波动，起幅度也应小于因为一些入侵行为造成波动的振幅。所以网络流量具有一定的稳定的特征。网络流量的突发性变化(主要是网络流量大幅增长)大多由网络用户的偶然性行为或突发行为引起的。目前，用户的这种突发行为可能就是在进行拒绝服务攻击或网络扫描，另外一种情况可能是网络病毒的活动引起的。因为网络流未来的状态是预知的，所以只能借助网络流的周期性，用它历史状态预测其未来状态。 在实践中作者对系统框架进行了实现，该系统主要分为数据采集、统计分析、信息解析、报警几部分。在该原型系统中，数据采集是本系统的基础，它负责采集指定的网络流量数据供统计分析模块使用，统计分析是本系统的核心，它负责分析网络流量的异常行为，计算异常行为的异常度。当异常度大于设定的阂值时就向解析模块发出警报和提供该异常的异常度信息，解析模块分析来自统计分析模块的异常警报信息，根据相应的算法判断该警报是否说明真有网络入侵发生。 作者在实验环境中对原型系统进行了训练和测试，该系统具备较理想的检测能力。作者利用该系统对校园网络的一些关键节点的网络流进行了监测，取得了一些重要的数据资料，为以后的进一步研究奠定了基础。