随着网络技术的发展，网络安全日益重要，面对入侵者的攻击，传统的安全防护系统难以进行有效的防御。入侵检测技术是继防火墙、数据加密等传统安全保护措施后出现的新一代的安全保障技术。入侵检测就是对计算机网络和计算机系统的关键结点的信息进行收集分析，检测其中是否有违反安全策略的事件发生或攻击迹象，并通知系统安全管理员或其它安全系统。入侵检测不仅检测来自外部的入侵行为，同时也监督内部用户的未授权活动。 在研读大量文献的基础上，本文分析了当前的入侵检测技术存在的一些主要问题，其中之一就是基于网络的入侵检测系统数据包模式分析技术难以跟上网络速度的发展。入侵者在攻击一个系统时往往采用一定的行为程序，如猜测口令的程序，这种行为程序构成了具有一定行为特征的模型，基于行为特征的入侵检测技术就是根据这种模型所代表的攻击意图的行为特征，可以实时地检测出恶意的攻击企图。基于行为特征的入侵检测技术仅检测一些与攻击行为特征相关数据包，从而大大降低了需要处理的数据包量。本文详细分析了几种常见攻击的行为特征，并提出了针对这几种攻击的基于行为特征的检测模型，在减少检测系统处理数据量的思路驱使下，在Windows平台上使用Vc++6.0集成开发环境实现了一个基于行为特征的入侵检测原型系统，该系统数据分析模块设计的依据就是上述的几种检测模型。 本文共分为七章。第一章介绍网络安全现状、本论文研究目的及我所做的工作；第二章对入侵检测系统、入侵检测技术、存在的问题及以后的发展方向进行分析讨论；第三章详细介绍了网络数据包解析技术；第四章在Vc++6.0集成开发环境下用Winsock编程实现了基于行为特征入侵检测系统的数据收集模块；第五章详细分析了三种常见攻击、并提出针对这三种攻击的基于行为特征的检测模型、并编程实现了该入侵检测系统的数据分析模块和响应模块；第六章对实现的入侵检测原型系统和检测模型进行实验分析；第七章是结束语，对系统和提出的模型的特性进行了全面分析和讨论，并提出了今后的工作。