本文的研究工作分为五个部分:首先,本文概述了入侵的概念,介绍了入侵的几个方面,包括网络监听、利用系统漏洞、恶意下载程序及病毒、IP欺骗。随后详细地介绍了几种常见的入侵类型及对策,诸如探针型攻击、拒绝服务的攻击、成为本地用户型攻击、成为根用户型攻击和数据型攻击这几种较为普遍的入侵类型及防范措施。其次,介绍了审计的概念和传统安全审计系统的历史,分析了常用安全措施的不足,并在此基础上产生的基于网络的安全审计系统,具体介绍了两种基于网络的安全审计系统的常用的实现方法:基于数据库的方法和基于数理统计的方法。又分别介绍了基于网络的安全审计系统的新方法:有学习能力的数据挖掘以及基于系统调用序列的方法:基于审计向量的入侵检测模型(AUDIDS)。第三,本文介绍了目前入侵检测系统的审计信息,对审计信息提出了两方面的评价指标:时序逻辑性和空间性,提出了针对完善空间性审计信息的方法:防守联盟协议,该方法是获取入侵行为在发起节点以及和目的节点物理相邻节点上的入侵行为特征作为入侵检测系统的审计信息,前一部分阐述存在于相邻节点的入侵行为特征如何获取并发送至目的节点,如转发到目的节点数据包的数据量及频度等作为审计信息;后一部分阐述利用网管中心获取入侵发起节点上的入侵行为特征,即通过对三次握手连接进行修正,认证连接的真实性以完善空间性审计信息。第四,介绍了一致逼近技术,并利用一致逼近技术的特点,将其应用于异常入侵检测技术。以特洛伊木马这个典型的异常入侵类型为例,通过讨论“特洛伊木马”运行模式,给出由图像函数定义的系统状态,利用系统状态的所有直接和间接关系确定系统转换过程中行为模式的变化及其规则,在此基础上分析了“特洛伊木马”的入侵检测。最后,介绍了本课题就此领域所作的初步研究。概要的阐述了所做的试验,并附了部分界面和源程序。