围绕检测基本dos攻击中的syn flood展开详细的介绍，基于Linux系统编写程序使得系统可以检测到syn flood的破坏行为。会简单的介绍下如何使用，既简单的配置问题。 如何使用：1、下载nmap软件；2：在虚拟机中（Linux操作系统）编译http.c；3、运行编译好的http.c文件；4、在nmap中输入自己主机windows的IP地址（也可在nmap文件中用命令扫描nmap -A ip）；5、日志生成在 /var/log/syslog里面，用tail -f /var/log/syslog可实时检测文件内容。6可以查看下自己虚拟机的ip地址，进行完第五步之后就可以看到虚拟机检测出来windows的ip地址对虚拟机发起的攻击。 总之有什么地发那个还不明白的可以自行百度，源码都有了其他不是轻轻松松嘛，就比如命令什么之类的。 友情提示：在虚拟机的终端最好进入管理员的身份权限（root)进行操作。 只能说很好用，兄弟们冲！

人工智能-机器学习-成都市电信公司基于移动代理的入侵检测系统的设计和实现.pdf

唐正军著的绝版书，现在已经买不到了，可以看看，里面的原理说的很清楚。

传统的入侵检测系统无法识别未知的攻击，提出在入侵检测系统中引入蜜罐技术来弥补其不足，并设计和实现了一个基于人工神经网络的入侵检测系统HoneypotIDS。该系统应用感知器学习方法构建FDM检测模型和SDM检测模型两阶段检测模型来对入侵行为进行检测。其中，FDM检测模型用于划分正常类和攻击类，SDM检测模型则在此基础上对一些具体的攻击类型进行识别。最后，设计实验对HoneypotIDS的检测能力进行了测试。实验结果表明，HoneypotIDS对被监控网络中的入侵行为具有较好的检测率和较低的误报率。

本论文以保证Android系统用户安全为根本出发点,以能够识别已有恶意攻 击和发现未知恶意攻击为目标,从Android安全机制和面临的安全威胁,以及 Android平台恶意软件攻击意图和攻击手段两条主线同时进行研究。在同时考虑 Android系统安全威胁和Android恶意软件行为模式的情况下,提出采用应用和 用户行为模式作为异常检测对象,并设计基于Markov链模型的用户和应用行为 模式的异常检测算法。最后给出了基于行为模式的Android平台入侵检测系统的 整体设计,并详细设计和实现了异常检测子系统。

这个一个关于用Java语言编写的一个基于人体T细胞和B细胞免疫原理的计算机入侵检测系统的实现,里面涉及了对网络数据包的抓取与分析,并且对网络上的数据包进行分析,利用到了基本的匹配算法

网络入侵检测系统的设计与实现（PDF版），书已经停止印刷，pdf版看起来更加方便

这是国内第一本全面覆盖网络入侵检测系统从设计基础到源码实现的技术书籍。本书所介绍的知识清晰全面，从入侵检测的概念、网络数据流的捕获技术开始，到入侵检测的不同方法，如基于专家系统的入侵检测、基于统计分析的入侵检测等等，最后是对系统具体源代码实现内核的深入剖析，可使用户对于入侵检测技术有一个比较全面的理解。 注：本书堪称经典，但已经绝版，这是本人费了很多功夫购买的高清电子版。分享出来给需要的读者学习研究