互联网的开放性为信息的共享和交互提供了极大的便利，但同时也对网络的安全性提出了严峻的挑战。网络安全已逐渐发展成为信息时代的关键问题。 入侵检测(Intrusion Detection)作为一种主动的信息安全保障措施，有效地弥补了传统安全防护技术的缺陷。通过构建动态的安全循环，可以最大限度地提高系统的安全保障能力，减少安全威胁对系统造成的危害，网络入侵检测系统成为一个重要的发展方向。 但随着计算机技术和网络技术的不断发展，网络攻击的手段也向多样化，高技术发展。SYN Flood就是其中一种拒绝服务式攻击方式。本论文主要陈述了当前网络安全的现状和各种攻击方式。介绍入侵检测的标准及分类，分析了其采用的技术(基于异常和基于误用)，介绍了各自的典型系统和优缺点。深入地讨论和研究了SYN Flood的攻击原理，在TCP连接时涉及到的内存分配和和对各种防御方法的机理，如采用SYN Cookie，增加TCP backlog等方法，并对其进行了深入地研究。分析了网络入侵检测系统Snort，阐述了入侵检测的流程。本文采用异常检测的方法，通过对到达目的IP和目的端口的SYN包的概率统计，计算其异常值并和门限值比较，有效检测出SYN Flood攻击。以预处理插件的形式，将Anti SYN Flood的模块加入Snort入侵检测系统中。