如今,随着网络向大规模化和复杂化演进,越来越多的终端接入互联网,越来越多的信息存储在互联网上,甚至人也作为一种终端接入了互联网,无时无刻不在产生信息。随着信息一体化的发展,在信息世界里无时无刻不存在攻防对抗,每一个网络安全事件都可能牵一发而动全身,尤其是网络窃密,信息的泄露更能引发连锁危机,所以对面向网络窃密的入侵检测关键技术研究具有重大意义。本文首先针对网络窃密攻击的攻击方式、攻击目标等各方面进行建模,抽象化描述网络窃密行为为一个五元组,为后续针对性的研究提供抓手。然后,在这个模型的基础上深入研究了网络窃密行为特点,认为用户的每一个操作在网络上就表现为一段时序紧密的数据包,用户操作的每一个特征都会通过相应的数据包的属性表现出来。所以在入侵检测系统上实现了针对网络窃密的行为特征分析技术,此技术通过构建连接跟踪表提取、分析包簇行为特征。本系统在协议识别模块中应用基于关键字和基于端口的细粒度协议识别技术,对协议深度识别并进行规则判断,为后续对应的协议解析技术提供便利。实验表明,本系统的数据采集子系统、数据处理子系统、审计子系统能够稳定的工作,并够检测出网络入侵行为。同时说明本文的连接跟踪和行为特征提取的方法很好地的区分了正常行为和网络窃密行为,为防止网络窃密工作提供了很好的借鉴。此外,本文还在网络窃密攻击模型的基础上提出了主动防御模型,此模型应用博弈的理论,通过主动防御模型,防御者在上述入侵检测精确结果的基础上预测出理性的攻击者所选择的最优路径,防御者只需在这个路径上部署最有效的防御即可实现防御收益的最大化。