随着信息技术，特别是Internet的飞速发展，计算机网络已逐渐成为21世纪全球最重要的基础设施。以此为基础建立起来的各种信息系统，给人们的生活、工作带来了巨大变革。信息系统的应用，加速了社会自动化的进程，减轻了日常繁杂的重复劳动，同时也提高了生产率，创造了可观的经济效益。然而，由于计算机网络具有连结形式多样性、终端分布不均匀性和网络的开放性、互联性等特征，致使网络的安全隐患越来越多，网络攻击对入侵者的技术要求也越来越低，攻击的手段越来越先进，越来越隐蔽，而危害也越来越大。如何保障计算机系统、网络系统及整个信息基础设施的安全已经成为刻不容缓的重要问题，对于我国的国防系统具有尤其重要的意义。 另外，统计数据还表明，超过80％的入侵和攻击是从企业内部发起的，由于防火墙自身所固有的防外不防内，使得防火墙对这些入侵和攻击无能为力。为保护系统资源，需要建立不同于防火墙和防病毒软件的主动防御机制检测入侵。入侵检测系统(Intrusion Detection System)就是监控网络或计算机系统的动态行为特征并据此判断是否有入侵的主动防御措施。入侵检测系统可以弥补防火墙的不足，检测来自网络内部的攻击，为网络提供实时的监控并且在发现入侵的初期采取相应的防护措施。但是传统入侵检测方法存在不足，即误用检测方法难于检测新形式的入侵，异常检测方法难于建立合理有效的正常行为特征和检测方法。因此，如何对计算机和网络中的非法行为进行主动防御和有效抑制，成为当今计算机安全亟待解决的重要问题。 本文首先回顾了网络攻击和入侵检测的发展，随后对入侵检测的体系结构、关键技术、主要功能模块的功能以及入侵检测的标准化进行了详细的阐述。然后对现有入侵检测系统进行了分析。在此基础上，将欧氏距离(Euclidean Distance)引入了入侵检测系统以降低入侵检测系统的误报率，并提出了基于Euclidean距离的入侵检测方法Intrusion Detection Based on Euclidean Distance(EDID)。这种方法的实质是在监控特权进程的正常系统调用基础上建立正常行为模糊子集A，用检测到的实时调用序列建立模糊子集B，然后用模糊识别方法中的最小距离原则进行检测。 本文的创新点是：通过对特权进程的系统调用及参数序列的研究，提出了基于Euclidean距离的入侵检测方法EDID，不仅能有效降低漏报率和误报率，而且使实时入侵检测成为可能；设计有独立而完整的特征数据库，根据被监控程序的类别，分别设计正常行为、异常行为等，提高了检测系统的强健性和可伸缩性；特征数据库按树型结构存储，大大节省了存储空间；在检测入侵时，实行频度优先原则，优先分析和处理信息表中的高频度行为特征，提高检测的速度和效率，使实时入侵检测成为可能；同时实现了异常入侵检测和误用入侵检测，弥补了单一检测方法的不足。