入侵检测是对计算机网络和计算机系统的关键节点的信息进行收集和分析，检测其中是否有违反安全策略的事件或攻击迹象发生，并通知系统安全管理员。一般把用于入侵检测的软件和硬件合称为入侵检测系统。入侵检测系统是防火墙后的第二道安全闸门，是网络安全防护体系结构的重要组成部分。 入侵检测系统自提出以来，获得了长足的发展。但是，由于高速网络和交换式网络的普遍应用，以分布式拒绝服务攻击为代表的新型攻击方式的出现和发展，以及现有入侵检测系统效率低下、误报率和漏报率较高的问题无法得到有效解决等问题，目前入侵检测技术正处于发展的关键时期。 在分析了目前入侵检测领域所面临问题的基础上，本文首先对入侵特征描述方法进行归纳研究，分析了传统的入侵特征描述方法和通用入侵描述语言，提出了使用入侵树对网络入侵行为进行描述和分析的方法，在此基础上提出了一种新的结合异常检测与误用检测技术的入侵检测模型。该模型综合利用网络和主机两种数据源，将入侵检测划分为入侵特征提取和入侵行为分析两个主要的部分，并给出了完整的入侵检测解决方案。然后，本文提出了网络安全问题域模型，并利用这一模型分析入侵检测系统的误报和漏报产生的根本原因；最后，为构筑完整的网络安全循环，本文提出了建立在入侵检测基础上的网络安全防护体系结构模型。