随着科技进步和计算机网络技术的飞速发展，信息产业及信息技术得到了巨大发展，政府、金融、信息等企事业单位及个人用户等对网络依赖程度越来越高，同时也由此带来了信息安全的隐患。因此，研究如何更快速更准确地检测出网络入侵行为显得尤为重要。 讨论和比较了传统的入侵检测方法，包括异常检测、误用检测以及其他非传统的检测方法如：免疫系统方法、遗传算法、基于代理检测法、数据挖掘等。在此基础上，论述了入侵检测系统的体系结构、原理、组成及特点，给出了入侵检测系统的三种基本类型的构件和工作原理。 结合规则分类的特征，将网络攻击分类为三种类型，即来自网络层的攻击、来自传输层的攻击和来自应用层的攻击，给出了攻击活动的三元组表示形式。此外，根据描述语言的要求定义了专家知识库中规则的描述语言，并结合规则的优先级阐述了规则匹配机制。 给出了一个基于规则匹配的入侵检测系统RMIDS(RuleMatchingIntrusionDetectionSystem)的体系结构、组织结构和入侵检测引擎的构造，描述了RMIDS采用的模式匹配算法——Boyer-Moore算法。针对某些试图利用基于规则的入侵检测系统的缺陷来逃避检测的入侵行为，还给出了一种具有较好检测效果的抗变异匹配算法RVPM(ResistVariationPa~emMatchingAlgorithm)。阐述了RMIDS系统数据采集、模式匹配、入侵响应、操作日志记录和攻击日志记录五大功能模块的工作原理和模块间的处理流程。 研究主要从理论上做了一些有意义的探讨，为进一步的实用系统设计奠定了必要的基础。