随着计算机和网络技术的快速发展，我们的生活和工作变得更加丰富、便捷和高效。但是，在以信息为第一财富的当今社会，企业和个人的信息资料都因为网络的开放性而存在着安全隐患，计算机网络的自身安全性与安全防护等问题随之成为了人们关注和研究的热点。在计算机技术发展的同时，计算机网络入侵和攻击的手段也在不断丰富，传统计算机安全防护措施面对这些新型的攻击手段时，时常显得力不从心，甚至被攻击者利用，成为入侵的桥梁。因此，为了提高计算机及网络的安全性，切实保障网络用户信息的安全和服务的正常使用，需要提出一种新型的安全防护措施以弥补传统方式的乏力。入侵检测技术的出现使得原有防御体系得到了加强。它可以有效的检测出计算机或网络中存在的入侵行为，并识别入侵行为的种类。但是随着网络结构和计算机系统的复杂化，网络带宽的增大等一系列发展，单纯依靠模式匹配或数据分析的传统入侵检测技术在应用端的表现越来越不尽如人意，低命中率、高误报率以及低负载能力等缺陷逐渐暴露出来，很难满足当今社会对网络信息安全的要求，这也从另一方面促使人们去进一步研究入侵检测的算法和系统，提高检测性能。本文通过分析入侵与攻击的种类与特征，并结合实际网络环境向高带宽、海量数据和安全传输的趋势，提出了一种基于行为条件的入侵检测方法的思想，并设计以此检测方法为核心的入侵检测系统。首先，该方法采用基于主机与基于网络的混合入侵检测模式，在主机端与网络检测服务器端分别设置检测模块，网络检测模块负责对进网数据做第一次过滤检测和监控网络内部广播数据的异常，主机检测模块负责主机异常行为的检测。其次，检测方法没有沿用近些年来主流的对数据特征提取对比的研究思路，而是采用直接对主机和网络用户行为进行监控对比的方法。建立以主机和网络基本行为为节点的攻击树模型，通过监控节点条件与形成攻击所需条件的匹配程度，对存在的行为进行异常判断。实验表明，本文提出的基于行为条件的入侵检测方法能够对应用层攻击进行有效的识别，基于此检测方法的入侵检测系统在大流量的网络环境中基本保证检测率。本文所做的主要工作如下：1.对传统的入侵检测技术进行深入研究，分析了他们各自的特点及适用环境，对他们的不足进行了总结。2.提出基于行为条件的入侵检测方法，通过分析计算机和网络的正常行为特征，以及入侵攻击的行为特征，对检测数据和行为进行异常识别。3.根据基于行为条件的入侵检测方法的特点，建立一套完整的入侵检测系统，该系统以基于行为条件的入侵检测方法为核心，围绕其设置了不同作用功能的模块。4.模拟实验。采用KDDCUP99数据集与真实的联通IDC线上数据作为入侵检测的网络环境，通过与Snort检测程序进行实验结果对比，确定研究方法的可行性。