互联网的迅速发展使得分布式计算成为应用的主流。由于互联网具有开放性、互连性、共享性的特点，使其遭受网络入侵的风险日益严重。在过去的几年中，针对关键信息资源的威胁数量和类型都在急剧上升。如何应对这种形势，及时对网络攻击行为做出主动反应，成为网络安全领域近年来的研究热点。最近出现了一些新的入侵检测系统(如思科公司的Mars系统，eSecurity公司的SEM系统等)，它们的特点是具有某些异常模式判断的能力，且对识别出来的威胁事件可以实现一定的主动响应，但是其缺点是系统封闭，价格昂贵，对第3方厂商的设备支持不足，尤其对国产网络设备的支持不够，应此在国内没有得到广泛应用。本文基于以上现状，设计并实现了一个基于日志分析的网络入侵检测系统，这个系统根据国际标准协议，建立了一个多种网络设备日志的收集系统，搜集网络中的关键网络设备的日志信息，充分利用这些日志信息所反映的网络行为特征，进行关联分析，从而定位网络攻击源，通过数据交换接口与防御系统中的主动响应模块实现数据共享。由于系统所搜集的海量日志数据中有大量的无效或冗余信息，如果不对它们进行预处理，将会淹没含有网络攻击行为特征的信息。我们利用数据挖掘里分类的方法去除大量的无效数据，然后运用数理统计的算法对这些信息进行挖掘，将不同网络设备产生的日志信息进行关联分析，利用聚类的方法来发现网络中常见的DoS攻击、计算机蠕虫病毒等威胁事件，同时利用模式匹配的方法来发现一些高危险性的黑客入侵事件；从而识别出在网络中对安全影响较大的网络攻击行为。对于不同网络设备日志产生的威胁报警，我们通过时间戳对它们进行关联分析，去掉同一安全事件的冗余信息，降低了误报率，并根据威胁事件对网络的不同危害程度，与主动防御系统中不同的响应模块实现了数据共享，提高了主动响应系统的效率和准确率。