WEB服务器是目前网络信息的重要载体,在网络安全事件高发的形势下,WEB服务器安全就显得十分的重要。入侵检测系统(IDS)是一种积极主动的安全防护技术,它可以监视主机系统或是网络上的用户活动,发现可能存在的入侵行为。目前入侵检测系统的研究和实现己经成为网络安全的重要课题,但是当前的IDS仍然存在不少的缺陷。如果能针对具体应用场景进行IDS设计,那么对提高IDS性能有着巨大的优越性。本文以WEB服务器的安全问题为基础,研究一种针对校园网WEB服务器防范非法入侵和攻击的IDS系统。将数据挖掘、协议分析等技术运用到入侵检测防护中,构建一个对WEB服务器的入侵检测系统。实现对服务器进程状态、文件系统状态、CPU使用状态、内存使用状态以及网络状态等情况的实时监控和防范警示。在系统结构设计上,按照公共入侵检测框架(CIDF),将系统分为事件产生器、事件分析器、事件响应单元、事件数据库四大模块,各个模块之间的通信消息采用GIDO格式,方便各个组件之间的通信而且也利于系统的扩展。此外,对WEB服务器安全问题进行了深入分析,设计完成攻击行为模式库。利用审计事件数据仓库模型和K-means算法异常检测模型对用户行为进行处理,发现已知和未知的入侵行为。本系统充分发挥数据仓库的功能,在采用DARPA 1999数据对系统进行测评时,表明系统对入侵行为有较好的识别能力。