基于协议分析的入侵检测技术是目前较为先进的入侵检测技术,它利用网络协议的高度规则性,快速地探测网络上不安全因素的存在。同传统的模式匹配技术相比,基于协议分析的入侵检测技术具有检测速度快、系统消耗低、降低误报率和探测碎片攻击等优点。论文对基于协议分析的入侵检测技术进行了深入研究,主要工作有:首先,对目前入侵检测系统常采用的模式匹配技术进行了深入分析,指出了其存在的缺陷。简单介绍了更具优势的协议分析入侵检测技术。其次,对入侵检测中的简单协议分析方法和状态协议分析方法进行了重点研究。简单协议分析方法主要使用检测规则对解析后的单个数据包中的协议首部和数据载荷进行检测。状态协议分析方法是建立一种状态协议分析检测模型,将观测到的数据包序列映射为状态序列,使用状态序列上的一元谓词来检测异常和攻击。两种方法结合能够有效的完成包括应用层协议在内的网络各层协议的分析,更加精确的定位了检测域,提高了检测的全面性、准确性和检测效率。在此基础上,提出了一个能同时支持误用检测和异常检测的基于协议分析的入侵检测系统体系结构。在上述研究工作的基础上,论文重点研究了基于状态转换的TCP协议异常检测方法。对TCP状态转换图深入理解后,研究和分析了TCP协议状态的转换关系,设计TCP协议状态分析模块。该模块采用STAPA检测方法检测TCP协议异常,并能检测TCP SYN Flooding攻击。最后,采用snort插件方式实现了论文设计的TCP状态协议分析模块。对实现的检测插件进行了模拟试验,该插件能检测出大部分TCP异常,验证了检测方法的可行性。