入侵检测系统是网络安全研究的一个热点，它能够动态监视网络的流量，发现非法的入侵行为，实时关闭非法的连接，是网络安全产品的基础和核心。　　 蜜罐是一种新兴的主动防御的网络安全技术，它通过监视入侵者的活动，使得网络管理员能够分析研究入侵者所掌握的技术、使用的工具以及入侵的动机，从而提高网络的安全防御能力。　　 本文首先对网络安全体系进行全面概述，分析了入侵检测系统在网络安全中的重要作用。在对著名的开源入侵检测系统Snort进行研究和改进的基础上，结合蜜罐技术，提出入侵检测系统自动更新规则的思路，设计了一个在企业网络环境中防范网络入侵，自主学习入侵行为、更新入侵规则的入侵检测系统。　　 本文所研究的入侵检测系统主要由三块内容组成：基于Snort的三层分布式入侵检测模块，蜜罐系统以及入侵规则构建模块。分布式入侵检测模块是在Snort技术基础上加以改进后设计实现的，它通过分布在企业网络中的入侵探测器将入侵信息收集到入侵统计服务器，管理员可以从分析控制台对所有的数据进行统一的分析处理，分析控制台还可以直接对入侵探测器进行访问控制、更新规则等工作。引入蜜罐系统首先可以拖延攻击者对真正目标的攻击，还可以通过记录攻击者的行为，发现一些未知的攻击方式，从而提取出新的入侵规则以备入侵检测模块使用。规则构建模块是从蜜罐日志中提取相应的信息，并将其转换为入侵检测模块可以使用的入侵规则。　　 本文的主要创新性以及技术成果表现在以下方面：　　 1、利用Snort技术，设计并实现了包括入侵探测器、入侵统计服务器、分析控制台的三层结构的分布式入侵检测模块。有效避免单点失效，减轻网络负荷，同时三层间的通信通过访问控制和加密手段，充分保证了数据传输的完整性和可靠性。　　 2、在研究Snort源程序的基础上，将其改进为支持多线程从而满足系统对其提出的动态配置的要求。　　 3、设计并提出了一种入侵规则的构建算法，通过实验测试，验证了该算法的有效性。