能够让机器自主的发现病毒、木马，并实现自身免疫，是计算机诞生以来人类的一个梦想。入侵防御系统(IPS)的研究目的在于实现计算机本身对病毒、木马的免疫反应，而NEL规则自动生成系统则进一步加强了入侵防御系统的智能化，其技术意义和社会意义都是十分深远的。 然而由于互联网信息的海量性和无规律性，正常数据和攻击在传输格式上都是二进制串，在传输方式上也没有根本的区别。直至今天对非法攻击自动识别的研究仍面临着巨大的困难。除了非法攻击本身随着网络安全技术的提高而更加隐蔽外，非法攻击的种类也更加纷繁多样，各类变种层出不穷。对非法攻击的具体化定义本身就存在十分巨大的困难。 本文所描述的模型是NetEye IPS上的子系统，用于分析Web服务器的日志并自动形成规则保护之。和以往的规则不同的是，该模型形成的规则通过NEL 编译器能够快速的编译到IPS库中，对待保护的Web服务器具有实时的保护能力。该子系统的工作是提取Web服务器日志文件上的GET 请求记录进行学习，并根据设计的算法对信息进行选取、分类，统计。最终以粗略规则的形式呈现给管理员，管理员将规则转换并编译成NEL 格式的文件，从而形成最终的NEL 规则提交给IPS规则库。 本文以经常作为攻击发动方式的，并且未经过处理的统一资源定位符中的参数串作为数据模型。原因是通过统一资源定位符中的参数串完成的攻击在所有的Web攻击中占有相当大的比重，目前来说，还没有一种有效的机制来检测黑客自主构造参数来发动对Web服务器的攻击。因此，本文在综合网络安全，机器学习，统计等多方面知识的前提下，对通过统一资源定位符参数形式发动的攻击提出了综合规则生成算法，并通过试验检测了该算法生成的规则的效果。NEL规则自动生成模型的实现，填补了NetEyeIPS对此种形式发动攻击没有免疫的空白，并且效果好，造价低。