入侵检测,作为信息安全保障中的一个重要环节,很好地弥补了访问控制、身份认证等传统保护机制所不能解决的问题.在这方面的研究国外从八十年代末就已经开始,但还没有比较成熟的理论.现有系统的问题主要表现在对物理拓扑结构的适应性不好,以及漏报率和虚报率较高等.该文首先探讨了入侵以及入侵检测的定义.根据检测的数据来源,将检测系统分为基于主机和网络两大类.根据检测技术,将检测系统分为基于行为(异常检测)和知识(误用检测)两大类.论文比较分析了各自的优缺点.提出检测主机日志和检测网络数据相结合,统一协调的总体架构.文中通过研究数据挖掘技术在入侵检测系统中的应用,提出了一个基于数据挖掘的入侵检测系统的模型.设计了一种基于部件的入侵检测系统,具有良好的分布性能和可扩展性.它将基于网络和基于主机的入侵检测系统有机地结合在一起,提供集成化的检测、报告和响应功能.在网络引擎的实现上,通过调用底层驱动,将截获的数据包解析后与规则库进行匹配,从而能够判断是否有误用企图.运用协议分析和模式匹配相结合的方法,有效减小目标的匹配范围,提高了检测速度.同时改进了匹配算法,使得网络引擎具有更好的实时性能.通过系统测试,表明网络引擎达到了设计目标并具有较高的实时性能.