本文设计了一种基于协议分析技术的网络入侵检测系统的整体框架，该系统主要包括以下几个模块：网络数据包采集模块、网络协议解析模块、检测模块、规则解析模块、存储模块、通信模块、决策响应模块和界面管理模块。在数据包捕获模块中采用WinPcap及其函数库，利用它们实现Windows平台下的网络数据包捕获。在网络协议解析模块中着重讨论了TCP、IP、UDP、ICMP等协议的协议解析过程，其结果是检测模块的基础。在检测模块设计中对入侵检测方法进行了分析，比较了模式匹配方法和协议分析技术，把协议分析技术应用到入侵检测系统可以提高其检测的准确率和系统效率，所以本系统采用的是协议分析技术来检测网络数据包中是否存在入侵。在协议分析的基础上建立了入侵事件描述语言，主要对特征选择、规则格式、规则选项、规则的匹配流程等进行了分析。它的提出可以使入侵事件的定义更加方便，使系统的扩展性加强。存储模块主要存储经过协议解析模块得到的网络数据包信息。本系统采用MySQL数据库来存储这些数据，主要供事后分析使用。通信模块保证了探测器和前台系统之间的通信能够安全有效，其通信采用加密机制。本系统的主要特点有：采用了WinPcap实现网络数据包的捕获；采用协议分析方法；建立了一种入侵事件描述语言来进行入侵事件的分析。