本文从介绍信息安全的背景，安全威胁根源及安全研究的重点出发，对当今的入侵检测技术及研究现状进行了详尽的分析，指出了其不足之处：传统的误用检测技术检测率不高，无法检测出未知的攻击手段，而传统的异常检测技术则存在误检率过高的问题。 基于以上问题，本文提出了基于程序行为分析的入侵检测技术。基于程序行为分析的入侵检测系统采用了LKM(linux内核模块)技术来实现，它通过修改中断向量表来截获系统调用，生成由短系统调用序列串构成的程序行为库。同时对每个系统调用的参数进行分析，生成参数长度模型，参数字符特征分布模型及特殊系统调用参数基于规则的模型。这样通过从系统调用短序列串和参数模型两方面来对程序行为进行精确分析，能够有效地规范程序行为，及时发现出现的程序行为异常，检测并阻断入侵的发生。实验证明此方法具有检测率高，误报率小并能检测出未知攻击的特点。最后本文还对此入侵检测系统值得改进的地方进行了探讨。