随着网络技术的快速发展和网络应用环境的不断普及,网络安全问题日益突出。在传统的加密和防火墙技术已经不能完全满足安全需求的同时,入侵检测技术作为一种全新的安全保障手段,在网络安全领域发挥着其独到的作用。因此一个集上网行为管理、网络审计为一体的网络管理系统就显得更加具有实际应用意义。本文在介绍入侵检测技术基础上,以轻量级入侵检测工具Snort为研究对象,剖析其模块结构、工作流程和规则特点,阐述系统的整体架构和具体应用。着重研究了对Snort规则集的优化。通过创建策略树、判定规则关系的方式,提出了对Snort规则集进行冲突检测的递归算法和冲突异常解决方案;通过对特征规则匹配频数的统计,提出了以规则文件为单位基于攻击类型优先级的静态次序优化;并基于冲突检测的结果,有次序限制条件的对Snort规则集进行动态索引次序优化。实验结果表明,规则集优化算法能够发现规则中潜在的冲突异常并进行正确处理。在网络负载几乎相同的环境下,经过规则集优化的Snort检测引擎处理时间要少于原Snort的处理时间,效率得到提高;同时入侵检测误报率和漏报率也有所降低。Snort规则集冲突检测研究为入侵检测引擎规则集优化的设计打开了一条新的思路,但它还需要不断完善。在优化Snort规则集基础上,基于Snort搭建了网络审计与行为分析(NAS)入侵检测系统,设计并实现了日志文件审计、特征规则管理、冲突检测报警、数据包协议分析、终端管理等功能,并通过测试证明其有效性和可用性。考虑到Snort协议分析能力的有限,采用改进源码后的Wireshark工具辅助分析Snort日志文件,以完成对应用层部分协议的分析。最后,本文说明了Snort规则集改进的进一步工作,并对Snort和IDS技术的发展作了展望。