入侵检测是计算机安全领域的一项重要技术，它通过审计计算机网络和计算机系统的行为信息来进行安全检测。基于系统调用序列的入侵检测技术已经取得理论上的重大成功，Stide、T-stide、RIPPER、HMM等多种检测模型相继提出，但因无法满足实时应用而缺乏可操作性。以现有入侵检测技术的发展方向为先导，本文作者针对系统调用序列检测技术的特点，在前人工作基础上，利用模糊控制技术将网络入侵检测技术与主机入侵检测技术相结合，设计了一个实时自适应的入侵检测系统，并对其关键技术模块进行仿真和编程实现。入侵检测系统主要由防火墙模块、网络入侵检测模块、模糊决策器模块、网络状况数据库和服务器六部分组成。工作流程如下：各模块的审计数据生成网络状况数据库，模糊决策器随网络安全状况的实时变化自动做出反应；模糊决策器依据模糊控制理论，将数据流的网络安全状况和实时检测结果模糊化作为模糊控制器的输入，经过模糊推理得到数据流的总安全等级，并依据系统资源使用状况对数据流采取相应的控制措施；依据模糊决策器的决策，服务器端针对入侵行为进行系统调用序列的实时监控检测，并通过截获系统调用做出实时的反应。作者在Matlab Simulink仿真工具包下进行了模糊决策器的设计仿真工作，仿真结果显示模糊模块具有良好的自适应性。进而，以Linux操作系统为平台，利用其可动态加载内核模块特点，在Redhat7.0下设计实现监控检测系统调用序列的动态加载模块，并对服务器性能进行分析测定，验证了动态检测模块作用的实现。论文最后简单讨论了现存模块的问题以及所设计系统的扩展性，并将此作为今后研究的方向。