自从JamesP.Anderson第一次提出入侵检测的概念[1]之后，入侵检测技术及入侵检测产品有了飞速的发展。在此期间，出现了诸如IDES、NMS、NIDES和DIDS等具有划时代意义的入侵检测系统的原型和其他许多商业产品。CIDF工作组也于1998年提出了公共入侵检测框架(CIDF)[2]的概念与相应的标准。 通过对入侵检测技术和相关CIDF标准的学习，重点对入侵检测系统进行了下面一些研究：1)建立符合企业需求的网络安全体系的研究；2)基于snort[4]规则的网络入侵检测系统的检测引擎的研究； 在此研究基础之上，对于最广泛应用的http协议应用程序的安全检测进行分析，并实现了http协议上暴力破解用户口令的预处理插件。 本文将入侵检测系统按照CIDF标准分为四个部分：事件产生器、事件分析器、事件数据库和输出/响应单元，并分别对每个部分进行描述。其中，事件分析器是系统的核心，它对来自网络的数据进行分析并将产生的事件传递给输入/输出单元进行处理。