面对网络的大规模化、入侵的复杂化以及内网的安全问题,防火墙为主的被动防御技术已满足不了网络安全需求,以入侵检测为主的主动防护技术成为研究的主要方向。而对攻击和入侵进行高效检测的前提是构建良好的网络威胁模型和相应的检测模型,这方面的研究还很不成熟。本文针对此问题进行了较为深入的研究,具体如下:首先研究了网络威胁的概念、分类、检测技术以及威胁检测模型。在国内外网络威胁检测模型的基础上,对攻击树模型进行了改进,结合网络攻击行为过程和特点分析,提出了基于行为序列的威胁检测模型设计方法,并对模型的结构和工作过程进行了详细阐述,然后依据行为序列模型工作原理给出了基于密码窃取行为的具体威胁模型设计过程。其次本文应用行为序列分析方法对威胁检测模型做了具体设计。通过对贝叶斯网络基本思想的研究,设计了行为序列节点的具体结构,并结合异常检测技术及概率统计方法设计了模型的检测过程。最后,利用DARPA数据集对提出的威胁检测模型做了仿真实验,给出了实验结果。实验结果表明,行为序列模型可以很好的检测出威胁,从而为入侵检测系统的建立提供了理论基础。