入侵检测系统作为一种能够有效地防范网络攻击的手段,逐步形成研究热点。防火墙作为网络安全的传统手段己经是一种成熟的技术,它的日志文件中记录了大量的有用信息,是入侵检测的极好素材。同时与此对应的是:目前对于防火墙系统记录的日志文件的分析大多还集中在流量统计阶段。本文通过分析一个防火墙系统记录的日志文件,实现了一个基于防火墙日志信息的准实时的网络入侵检测系统。系统主要包括四个模块:数据采集模块、日志分析模块、入侵检测模块和用户接口模块。系统中数据采集模块实现了日志文件由防火墙系统到日志处理工作站的转移,并利用动态缓冲区技术将网络繁忙时的数据留待空闲时处理。日志分析模块采用了日志预处理方案,将日志信息进行分类,丢弃无用的日志数据,并将数据包封装成系统所需的格式。在入侵检测模块中,通过对大量的入侵实例进行分析,提取入侵方法的特征,建立了一个包括部分常见攻击方法特征的入侵规则库,实现了对部分常见攻击方法的检测。用户接口模块实现了与用户相关的接口,系统将分析结果通过此接口通知给用户,并同时将告警信息存入日志文件中,供管理员后期查询和分析。实际运行表明,系统对Syslog日志的分析效率较高,有很好的容错性,异常处理方面具有较高的实时性。由于防火墙日志格式和网络攻击方式多种多样,本文着重介绍了符合RFC3164协议的日志解析流程,以及常见入侵方式的检测。在以后的设计过程中将提供多种协议的兼容和各种入侵行为的检测,并进一步完善系统的功能。