入侵检测技术是继“防火墙”、“数据加密”等传统安全保护措施后新一代的主动型安全保障技术，它对计算机和网络资源上的恶意使用或入侵行为进行识别和响应。随着信息化建设的不断深入，信息安全的完善一直是个关键的环节。众所周知，现在的系统设计主流是B／S结构模式，即以浏览器作为客户端，以WEB服务器作为服务器端，进行通信的。通常大多数WEB站点的设计目标都是以最易接受的方式为访问者提供即时的信息访问。在过去的几年中，越来越多的黑客、病毒和蠕虫带来的安全问题严重影响了网站的可访问性。尽管Apache服务器也常常是攻击者的目标，然而微软的Internet信息服务(ⅡS)--WEB服务器才是真正意义上的众矢之的。本文的工作重点正是针对WEB服务器(ⅡS)设计的入侵检测系统。从当前国内外网络安全的发展现状出发，重点研究基于主机审计的入侵检测系统，并把ⅡS日志文件作为主要研究对象。基于日志文件的分析，本文提出改进的基于排除的串匹配入侵检测算法，使得系统能够更有效地检测已知的入侵行为和异常入侵行为。目标系统ⅡS Analyzer结构上分四大模块，分别是数据采集模块、数据库管理模块、安全分析模块和系统响应模块，核心是安全分析模块。本目标系统的特点是对安全分析模块的模式匹配算法进行了改进，提出了基于排除的匹配算法，该算法使得设计的系统提高了检测的效率。