本文介绍了当前的安全形势，强调了通过监控进程的行为进行入侵检测的重要性。文章的目的是提出一种基于系统调用参数信息的进程行为分析模型。在进程的行为数据采集阶段，分析了四种流行的内核层次拦截系统调用的方法并总结了它们的缺点，提出了通过修改中断向量表拦截系统调用的方法，并利用LKM技术对其进行了实现。为了提出更好的检测模型，对当前基于进程系统调用序列的STIDE、KNN、HMM等经典模型进行了实验和分析，总结了这些模型的优缺点。通过分析这些模型的缺点，本文提出了基于系统调用参数信息的进程行为分析模型——A-LERAD；A-LERAD模型将系统调用参数、系统调用返回值和错误状态加入了模型，使用系统调用和系统调用的参数信息对进程的行为进行表征。为了得到进程的正常行为库，提出了基于规则学习的算法LERAD。LERAD算法能够将系统调用的参数信息加入到规则中，生成进程的正常行为规则集。训练时，通过规则学习算法LERAD生成进程正常行为的最小规则集；检测阶段利用该规则集对进程的行为进行检测，如果异常度超过了预设的阈值，那么该行为被认为是异常的。为了证明本文提出的进程行为分析模型的正确性，本文又提出了三种基于LERAD规则学习算法的进程行为分析模型，它们分别是：基于系统调用序列的LERAD方法、融合系统调用序列和当前系统调用的参数信息的LERAD方法与融合系统调用序列和所有系统调用的参数信息的LERAD方法。最后，通过实验证明基于系统调用参数信息的进程行为分析模型(A-LERAD)是这几种方法中效果最好的，能够有效地检测到异常行为，具有识别率高、误报率低和能够检测到未知类型攻击等优点。文章的最后，对基于系统调用参数信息的分析模型需要改进的地方进行了分析和展望，提出了通过使用更好地规则学习算法来提高A-LERAD模型效率的方法。