该论文首先对现在的入侵技术、模型进行了系统分析研究;继而综合应用软件工程、数据融合、人工智能、知识表述与获取以及分布式系统理论和技术,从检测模型、系统原型、检测算法、检测性能评测以及分布式体系架构等方面,针对一些具体问题作了大量的研究工作,提出了一些新的观点和实用系统设计模型,并解决了若干理论与工程实践中的问题.主要包括:·对现有入侵检测领域的各种检测模型和技术进行综述和归类分析,详细地讨论了各种技术的优缺点.使我们能够从整体上把握入侵领域的研究和发展方向.·从系统行为分类和软件工程的角度提出了相应的基于系统行为分类的检测模型和基于数据流的入侵检测系统设计模型.着重考虑如何把对系统具有恶意的行为从大量的系统行为中区分出来.明确提出了"如何定义、表述和获取系统的行为知识或检测模型"是入侵检测研究的关键.·通过分析影响入侵检测有效性的参数,给出了评测检测系统与检测算法性能的重要测度:虚警率、检测率,进行了相应的推导证明.指出在分析、设计入侵检测系统、检测算法以及描述系统行为时,应特别关注如何提高检测率、减小虚警率的问题.针对该问题,该文提出了采用多检测器协作和结果数据融合的解决方案,并从集合论的角度进行了相应的分析、论证.·提出了一个基于进程行为分类的实用入侵检测系统原型,给出了原型的详细设计和系统框图,解决了同时对系统中多个系统关键程序的执行监控的问题.该系统原型的核心为系统行为分类器(神经网络分类器或贝叶斯分类器),用以完成对系统进程行为的分类与识别.