本课题是IDS的设计与实现，完成的是一个基于规则分析的网络入侵检测系统。它的设计是基于Windows 2000/ME/XP系列平台上的，前台设计采用Visual C++ 6.0，后台采用ACCESS 2000来开发。系统从一开始就严格从用户的角度出发，力求达到操作界面友好、操作简单，功能全面。

论文工作安排

论文后续章节工作安排简要介绍如下：

第１章：绪论，主要介绍系统的课题背景及系统的相关基本概念；

第２章：IDS关键技术描述，系统建立的关键技术以及所需环境；

第３章：系统分析与总体设计，进行必要的可行性分析、需求分析、系统功能模块划分等；

第４章：系统的详细设计，主要完成数据库分析和系统数据表设计；

第５章：系统功能的具体实现，详述各种技术在系统设计中的灵活运用。

系统需求分析

对于入侵检测系统而言，足够有力的检测功能是最基本的需求，能够准确的检测出入侵事件是系统首先要达到的目的。在入侵检测一般模型中，都包含了一定的响应模块，这也就反映了一般用户都具有的对所检测到的异常行为进行响应的基本需求。入侵检测系统还需要满足其他的需求，例如用于损伤情况评估的需求和尽可能减少对目标系统性能影响的需求等。 

系统流程

在入侵检测系统中，网络数据包捕获模块从给定的数据来源中（包括主机审计数据、网络数据包和应用程序的日志信息等），生成入侵检测事件，并送到网络协议分析模块和入侵事件检测模块中，网络协议分析模块与入侵实践检测模块可称作为活动档案，该活动档案根据新生成的事件，自动更新事件数据库，即存储模块也称作规则库。规则库根据当前系统活动档案和当前事件的情况，发现异常活动情况，并送到响应模块。

系统功能模块介绍

网络数据包的捕获模块

因为网络入侵检测系统的操作对象是网络数据包，那么首先就必须把所有的网络数据包都捕获下来，所以此模块的主要功能就是从以太网中捕获数据包。由于此模块的性能要求很高，又因为网络中的数据包很多，如果捕获不及时，就会有漏包的情况出现，因此要根据需要设置过滤网络上的一些数据包，如特定IP、特定MAC 地址、特定协议的数据包。为提高效率，我们使用为数据监听应用程序设计的开发包Winpcap 来实现该功能，开发包中内置了内核层实现的BPF 过滤机制和许多接口函数，它们不但能够提高监听部分的效率，也降低了开发的难度。

网络协议分析模块

在网络协议分析模块中，必须对捕获到的数据包进行详细的分析，检测出每个数据包的类型和特征。只有等到对网络协议进行了详细正确的分析，才能够检测出入侵行为。由于网络协议非常多，因此就必须分析很多的协议。在本系统中，将分析网络中的大部分协议，包括：ARP/RARP，IP，ICMP，TCP，UDP，HTTP 等。

存储模块

此模块主要是存储网络信息。由于网络数据包很多，而且是稍纵即逝的，因此必须及时地把它们存储起来。这最大的好处就是可以供事后分析，在此基础上可以发现网络的流量情况，例如分析IP 协议的分布情况等。这里将使用Access数据库

入侵事件检测模块

此模块是入侵检测系统的主要模块。由于传统的模式匹配问题根本是它把网络数据包看作是无序的随意的字节流，对于网络中传输的图像或音频流同样进行匹配。而协议分析技术有效地利用了网络协议的层次性和相关的知识快速地判断攻击特征是否存在，这样就高效地使得匹配的计算大幅度减小。本系统主要的思路就是根据入侵规则库进行协议分析，运用入侵事件描述语言，对规则库进行匹配看是否有入侵行为发生。本系统要先定义好一些已经存在的入侵攻击规则库，并且要实时更新，它的知识库丰富与否就决定了入侵检测系统的性能。然后就是转化为分析好的协议和规则库的匹配问题了，如果匹配成功，