随着网络及其应用的快速发展,针对网络的入侵行为越来越普遍。目前针对这些攻击的入侵检测系统普遍通过字符串匹配方法检测入侵行为,如果匹配成功则输出报警信息,这种检测方式简单、速度高,能有效检测大多数端口扫描攻击和Web试探攻击。随着网络攻击手段的复杂化,传统的字符串匹配方式逐渐暴露它的不足:只对数据包内容做简单的匹配而无法检测多种变形攻击,形成漏警问题;检测引擎对数据包只做简单的第三、四层协议解码后就利用内容匹配检测攻击,没有两次或者多次匹配的过程,也就是没有累计匹配和逻辑匹配,因此不能检测分布式攻击事件,容易受到愚弄而被绕过,再次形成漏警问题。针对上述问题,协同入侵防御系统CIPS(Cooperative Intrusion Prevention System)采用网络日志分析方法建立入侵检测规则库,防范变形攻击和分布式拒绝服务攻击。网络日志分析的基础是比较历史攻击行为的轮廓和当前用户行为的轮廓,如果两者相似,则认为攻击行为发生。这种规则建立方式不依赖于特定的字符串,考虑了攻击行为可能发生的变化,所以能有效提高对变形攻击以及分布式拒绝攻击的检测率。通过端口映射的方法将针对每个服务端口的访问映射到相应的分析节点上,使各个分析节点并行分析针对各个服务的攻击,提高了大规模网络环境下的日志分析速度,从而减少了响应延迟;依据网络日志格式的特点研究并实现了关联分析算法,通过特征转换,使得关联分析算法适于分析网络日志格式,在评估关联规则检测效果的时候综合考虑了置信度和支持度两种因素的影响。采用C和C++语言在linux操作系统下实现了CIPS中的网络日志分析子系统,并对该子系统进行了安全性测试。分别测试了Finger攻击的6种工具和分布式拒绝服务攻击的6种工具,并且探讨了当关联规则的支持度和置信度变化时检测率的变化。结果表明: 对于Finger攻击和DDoS攻击,采用传统字符串匹配检测效果不佳,而利用网络日志分析方法获得较好的检测率,并且两种攻击的检测率随着支持度和置信度的增加而减少,支持度对Finger攻击影响较大而置信度对DDoS攻击影响较大。