本文概括了计算机系统和网络系统存在的安全威胁和网络安全的目标，针对这些问题，阐述了入侵检测的基本原理、系统的构成及分类、事件分析方法。然后分析了snort网络入侵检测系统的体系结构。snort入侵检测系统是一款开放源代码的轻量级的网络入侵检测系统，在实际应用中得到广泛使用。它采用误用分析的方法来识别发现违反系统和网络安全策略的网络行为。网络数据包可以和维护的规则匹配，检测入侵行为。snort在高带宽的网络中当流量较大时，抓包模块超载导致大量丢包，可能的攻击活动无法被识别。snort由于数据包捕获和检测的速度不匹配，一般来说，snort的检测速度相对于抓包速度较慢，使得很多数据包没有进入检测就被丢弃。本文对数据包嗅探、解码、预处理、检测和输出进行重点分析，使我们能够迅速掌握网络入侵检测从抓包开始到输出处理结果的全部过程和实现方法，为以后进一步研究和提高网络入侵检测系统性能提供了理论依据和经验。特别是研究了插件机制，给出了插件实现的流程，方便我们可以根据需求设计出相应的插件，扩展系统功能。最后，对snort进行了安装和配置，研究了snort的规则和规则匹配，数据包记录日志，报警同志，并且研究了入侵检测系统评估标准，对snort入侵检测系统进行了测试。