随着互联网络的快速发展，WEB应用服务的安全问题日益严重。当前，基于误用检测技术为主的入侵检测系统出现了误用规则日益增多、处理数据量不断增大的情况。以致现有的检测系统自适应能力低，误报率高，检测效率低下以及检测及时性低下的问题日益突出。基于异常的检测技术作为当前入侵检测研究的主要方向，可以有效地检测未知的攻击行为，又能提高检测效率，其中，用于学习的正常行为样本库至关重要。因此如何有效地分拣出正常行为样本在入侵检测研究中具有重要的意义。本文首先对隐马尔科夫模型进行了循序渐进的介绍和研究，主要分析隐马尔科夫作为样本分类模型和入侵检测模型的求解过程。隐马尔科夫是一种有效的分类模型，近年来，其在WEB入侵检测中的应用也得到了发展。然后在传统隐马尔科夫检测模型的基础上，深入研究传统算法的优缺点，并指出模型建立过程中存在的诸多问题，如不具有自适应学习能力、迭代建立的模型过于复杂、模型建立后无法修改等。基于以上问题，本文提出了一种自适应地建立正常行为模型对WEB攻击进行异常检测的方法。利用Request-URL的结构特征来描述WEB请求的类型，并使用隐马尔科夫模型识别URL结构特征的方法对样本集进行分类；利用样本的各属性来构造离散性函数，将样本子集的离散程度作为识别正常行为集的标准；在此基础上，对每种类型的WEB请求进行离散性分析，判断是否为正常行为类，再利用正常行为类来构造隐马尔科夫的检测模型。最后本文通过两组实验分别对改进方案进行实践。实验结果证明，该方法建立的模型能够有效地识别出WEB攻击请求，并降低检测的误报率。