近年来,Internet的快速发展大大推进了社会生活和经济文化等的发展进程,人类在享受计算机网络给我们带来的方便和快捷的同时,也越来越感觉到网络安全问题给我们提出的严峻挑战,网络犯罪日益严重。在这种情况下,反病毒软件,防火墙技术和入侵检测产品等相继出现,共同维护着现代网络的安全运行,在网络安全技术的不断发展的今天,如何使网络安全防御体系从被动变为主动已经成为专家学者们研究的新内容,而入侵检测技术是这一研究内容的主要研究对象,因此,入侵检测技术已经成为网络安全体系结构中不可或缺的一部分。Snort入侵检测系统是一种著名的开源入侵检测系统,能够有效保护系统信息安全,深受网络安全领域的重视,很多专家学者从事其研究和开发使用。随着网络资源逐渐增加、网络流量不断提高以及网络攻击类型变化多端,致使Snort不能满足网络发展的要求,从而漏掉一些复杂的网络攻击行为,给系统造成严重的安全隐患。因此,如何提高Snort的检测效率,增强其检测性能己成为入侵检测领域研究的重要内容。本文在分析研究Snort系统的优缺点的基础上,利用其开源性和支持插件的优势,针对其对新的入侵行为无法检测,漏报率较高以及检测速度较低等问题,在Snort系统的基础上结合目前入侵检测中的数据挖掘技术,提出一种基于Snort系统的混合入侵检测系统模型。该系统模型是在Snort系统原有的基本功能模块的基础上增加了正常行为模式构建模块、异常检测模块、分类器模块、规则动态生成模块等扩展功能模块。在Snort系统中增加动态规则生成模块,使得改进后的混合入侵检测系统具有动态规则扩充机制,能够检测到新的入侵攻击行为,弥补Snort典型的误用型入侵检测系统的缺点;在Snort系统中增加了正常行为模式挖掘模块、异常检测模块,使改进后的混合入侵检测系统同时具有误用检测和异常检测的功能。从而提高检测系统检测效率。最后,根据系统设计模型,实现了一个基于Snort的混合入侵检测系统。采用林肯实验室的样本数据,利用Profile测试工具对改进后的系统进行了测试,通过实验结果对比及分析,验证了改进后的混合检测系统在检测功能、检测效率上都得到了改进和提高。改进后的混合入侵检测系统不但能够动态扩充规则,同时具有异常检测的功能。从而大大提升了系统的检测效率。