互联网迅速发展的同时，网络安全问题也日益严重。病毒、恶意攻击、非法访问等都容易影响网络的正常运行，网络设计和建设者们将多种网络防御技术综合应用到网络安全管理体系中，形成了入侵检测系统(NIDS)，它扩展了系统管理员的安全管理能力，帮助系统对付网络攻击，提高了信息安全基础结构的完整性。是防火墙的合理补充。 入侵检测是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程，它侧重于监视和保护网络。流量监控系统便是其中一种分析网络状况的有效方法，它是以网络数据包作为信息源的入侵检测系统，从数据包流量分析角度，通过实时地收集和监视网络数据包信息，来检查是否有违反安全策略的行为和网络工作异常的迹象。 在比较常见的几种网络流量分析软件和基于网络流量的入侵检测系统的设计思路的基础上，本文提出了一种基于Snort的网络入侵检测系统。Snort是一个强大的轻量级的网络入侵检测系统，它具有实时数据流量分析和日志IP网络数据包的能力，能够进行协议分析，对内容搜索或者匹配。它能够检测各种不同的攻击方式，并对攻击进行实时警报。此外，本系统具有很好的扩展性和可移植性。本文分析了Snort系统的架构、工作流程和三维规则链表，并着重研究了该系统的检测引擎及其采用的模式匹配算法。 整个入侵检测系统采用网络流量监听与分析软件Snort+PHP+Apache+MySq1建立网络入侵检测系统。以Snort监控当前网络的流量，将监控的数据记录在MySq1数据库中，在ACID与PHP中生成直观的网页图形界面，以Apache发布，供网络管理员实时掌握当前的网络的状态。 完成系统配置之后，用实验环境检测出各种入侵方式的特征值。在此基础上，着重研究和分析Snort软件的规则集的算法思想和优化方案，并在校园网环境中进行检验。检验结果证明此系统能有效提高对异常网络流量下的入侵的预警。