入侵检测是一种积极主动的安全防护技术,它可以监视主机系统或是网络上的用户活动,发现可能存在的入侵行为。基于系统调用序列的入侵检测方法是当前入侵检测技术中的重要技术。基于系统调用序列的检测技术使用系统调用序列来描述应用程序的正常行为,只是考虑了序列之间的时序关系,因此一些攻击通过在系统调用参数中注入代码的方式来绕过检测,从而影响了系统检测的准确性和效率。首先,本文在对基于系统调用序列的异常检测技术深入分析的基础上,提取系统调用的参数,根据系统调用参数不同的特性建立了系统调用参数的字符串长度模式、参数的字符分布模式和参数的字符串结构推断模式,用来检测参数中的过长字符串、字符串中出现高频字符和非法访问文件等一些潜在的攻击行为。其次,针对目前入侵检测技术对程序行为提取方法所存在的不足,本文采用修改中断向量表的方法截获系统调用,实现系统调用参数提取。并在此基础上,利用LKM技术使用户实时提取系统调用的行为信息,通过加载检测模块实现对用户行为监控,弥补了传统采取离线方式分析用户行为方法的不足。最后,在上述研究的基础上给出系统仿真分析方法,验证了基于系统调用参数的入侵检测方法对检测伪装攻击的有效性,和改进的模式输出整合分类方法的低误报率。