随着网络技术日新月异的发展,人们的生活和工作越来越离不开网络。但网络技术高速发展的同时,给我们带来了便利,也给我们带来了灾害。信息在传输过程中,时常面临着被攻击的风险。虽然我们的检测技术也在相应的提高,但是入侵手段也是层出不穷。这时候,建立一套完善的入侵检测系统(Intrusion Detection System,IDS)就显得尤为重要。入侵检测系统是一种主动安全防护系统,融合了许多先进理论与方法,其研究具有重要的理论意义与实用价值。入侵检测系统按数据源可分为网络型和主机型,本文针对网络入侵检测系统进行研究。现有的入侵检测系统有可以分为误用检测系统和异常检测系统。但是误用检测系统有一个比较严重的缺点,就是检测时的精度不是很高,错误率比较大,已经无法跟上攻击手段的更新升级速度,单纯的误用检测技术已经无法满足实际的需求。考虑到这些问题,本文研究的对象是能够检测出未知攻击和响应速度相对较快的异常检测技术。异常检测系统最为重要的是搭建系统的模型,系统首先通过统计或学习等方法建立用户行为的正常活动集,接着分析每一条新的行为判断是否存在不同寻常的活动,即是否有异常现象。所以,我们所搭建的入侵检测系统的模型很重要,它能够直接对检测的精度产生很大影响。不同模型不仅检测的结果可能不同,而且检测算法、检测速度等也不尽相同。本论文是设计并实现基于Web异常检测的入侵检测系统。系统通过分析大量用户正常Web浏览行为的网络流量学习得到正常浏览模型。在检测阶段对Web浏览数据进行特征提取,计算和正常用户行为特征模型之间的偏离程度作为异常程度的度量。本文通过数据库的设计,入侵检测系统模型的设计来组成一套基于Web异常检测的入侵检测系统,该系统的六大模块分别为用户管理模块、数据采集模块、协议解析模块、异常检测模块、判决模块、系统日志及报警。接着,我们对设计出来的系统进行测试,看看这个系统有没有存在什么问题。我们通过黑盒测试的方法和白盒测试的方法来确定系统是否与既定的要求一致。测试结果显示本文设计的异常检测系统能够检测出给定的攻击,即该系统是可靠的,这个系统还具有如下特性:(1)监视并分析用户行为;(2)对系统的漏洞及网络的配置做好审视工作;(3)评估数据是否完整及是否具有稳定性;(4)快速识别异常入侵。