入侵检测是继数据加密、身份鉴别和防火墙等传统安全保护措施之后的新型网络安全主动防御技术,它可以在网络受到危害之前拦截入侵并做出反应。现有的大多数实用入侵检测系统通常只是将收集到的网络数据与已有的攻击模式库进行比较,从而发现违背安全策略的行为。这种特征匹配的方法对于已知的入侵效率很高,但对于最新的未知攻击却无法准确地检测,而且这种遍历式的数据检测模式在高速网络中也会因资源有限造成漏警。本文对基于网络行为分析的入侵检测方法进行了研究,主要工作如下:1.简要介绍了入侵检测的概念、常见的入侵检测方法和几种入侵检测系统的通用模型,对网络行为进行了分类研究,并对网络行为的研究基础――网络测量做了阐述;2.对某校园网络的网络行为特征进行了实际测量分析,建立了一个流量采集与分析平台,并构建了一种并行的行为特征分析模型和一种基于历史时间序列的网络行为预测模型;3.设计并实现了一个基于网络行为分析的入侵检测系统,并对该系统做性能分析。实验结果显示该系统具有系统资源占用率低,较低的误警、漏警率,适合在高速网络中运行等优点。最后对已完成的工作及下一步需要进行的工作进行了总结。