随着互联网的迅猛发展，网络安全威胁日益增长，网络攻击的破坏性愈发严重，单纯的防火墙无法防范复杂多变的攻击，入侵检测技术应运而生。网络的入侵检测系统NIDS是入侵检测系统IDS的一种实现方式，它有着相对更好的应用前景。作为网络安全体系的重要组成部分，入侵检测系统应成为安全保障的必备工具，但是实际上使用情况并不好。作者希望可以通过本文提出一些NIDS改进的思路，解决现有NIDS的问题，让其发挥更大的作用。 本文首先对传统NIDS体系结构深入的研究分析，得出现有NIDS存在的问题，即： 一、误报漏报严重，信息量大、有效率低。 二、报警信息较难区分重点。 归结起来，NIDS的根本问题是“数据有效性低，针对性不强”。而造成这个结果的原因是NIDS对所处网络环境了解太少，缺乏针对性。本文希望NIDS通过被动探测为主、手工输入为辅的发现方式对所处网络环境有更多的认识，在此基础上对发生的报警信息有针对性的处理，进而可以更加有效的工作。随后介绍了一下“被动主机特征发现”的研究情况，为NIDS的改进提供了理论支持。 根据“NIDS知道的更多，就可以做的更好”的原则，本文基于开源的NIDS产品Snort，设计了新的nids原型系统的架构并予以实现，达到了改进的目的。改进NIDS主要围绕着网络环境信息NEI展开的，它描述了NIDS所处的网络各种相关信息，体现了NIDS对当前网络情况的认知和把握。通过对网络环境信息NEI的描述、获取和维护，以及对NEI的利用，实现改进的目的。改进后的NIDS实现了对所处网络环境的发现功能，面对一条发生的入侵攻击，可以比对“有针对的入侵规则”和此攻击对象的特征信息，在此基础上判断入侵是否有效，并在反馈给用户报警信息中体现出来。 最后，本文通过对改进NIDS的测试评价，试验证明了这种设计思路是正确可行的，并分析了本文的取得的成绩和存在的问题，对课题的总体情况加以总结，把一些想到但是没有实现的一些思路提出来，展望一下未来的工作。 综上，本文是通过对现有的NIDS分析，认识到存在的根本问题是“数据有效性低”，并提出、实现了一些粗略的改进想法，作为一种探索研究，希望能有起到打开思路、抛砖引玉的作用。