随着计算机网络应用的普及和网上商务活动的日益频繁,计算机系统的安全问题越来越突出。攻击事件发生的数量逐年增加,近几年的上升幅度更为明显。同时这些安全事故给社会造成了巨大的经济损失。通常使用入侵避免技术,例如用户身份认证、添加网络防火墙等技术来作为防御攻击的第一道防线。但是只有入侵避免技术还不足以完全防止入侵,例如无法防止局域网内部的攻击。这就需要入侵检测技术来作为防御攻击的第二道防线。作为计算机安全领域的一个重要技术,入侵检测技术的研究逐渐受到人们的重视。然而目前的入侵检测系统在有效性、适应性和可扩展性方面都存在不足,尤其是在遇到新的入侵类型时变得无能为力。针对这些不足本文将从数据处理的角度用网络流量异常检测的方法建立入侵检测系统模型。本文首先对入侵检测系统的技术背景进行了简要的说明和分类,针对异常入侵检测技术的不足,将主要研究方向定在降低入侵检测系统的虚警率上。在异常检测系统中,建立正确反映网络实际流量的模型至关重要。