摘要：基于应用层协议的入侵检测依赖于特定的协议分析器从流中获取高层次的上下文，为了选择正确的分析器，传统的系统依赖于一些众所周知的端口号。正是因为这样的原理，很多非法的连接不使用标准端口或者采用隧道技术躲避入侵检测系统的检测。在本文中，我们希望实现一个利用包重组获得完整的数据流的上下文实现动态应用协议分析，以成功地检测到采用非常规手段的入侵。

关键词：特征签名 多模匹配 动态协议分析 报文重组 入侵检测 

单位：昆明理工大学云南省计算机技术应用重点实验室 云南昆明650051