在网络应用越来越广泛地同时，网络安全也显得越来越重要。为了增强网络的安全性，人们采用了各种网络安全的技术，入侵检测是近些年来人们提出的一种新型的主动防御机制，并成为网络安全的一个重要分支。本文研究并设计了一种基于规范的入侵检测方法。 传统的入侵检测方法分为特征检测和异常检测，特征检测的优点是准确率高而不能检测出未知的攻击，异常检测的优点是能检测出一些未知攻击，但是虚警率高，基于规范的入侵检测是一种新的检测方法，能检测出已知攻击和未知攻击，并且虚警率很低。 本文引入一种高层的ASL(Audit Specification Language)描述语言来描述系统安全行为和网络入侵行为。ASL语言是一种简单的、有较强表达能力的、基于事件驱动的语言，用ASL语言描述的规范经过编译后可以转换为C++模块，C++模块编译连接后作为检测引擎来检测入侵。文中模式匹配采用了扩展的有限状态自动机(EFSA)算法，也就是在编译规则的时候将规则转换成扩展的有限状态自动机，这个方法提高了运行时执行的效率，使得匹配的时间与规则的多少基本无关。本文用ASL详细的设计了特权程序和网络数据包的入侵检测的规范。