入侵检测是安全防御体系中继防火墙、数据加密等传统安全保护措施后又一项重要的安全保障技术，可以在入侵的全过程对系统进行实时检测与监控。入侵检测系统能在入侵危害发生前，检测到入侵攻击，并利用预警与防护系统驱逐入侵攻击；在入侵攻击过程中，能及时报警，并将入侵攻击造成的损失减至最小；在入侵攻击发生后，可以收集相关信息，作为入侵特征，添加入知识库内，以避免系统再次受到入侵。随着网络规模的不断扩大和入侵手段的不断更新，入侵检测技术也面临着诸多挑战，例如：如何提高入侵检测系统的检测速度，以适应网络流量日益增大的要求；如何减少入侵检测系统的漏报和误报来提高其安全性和准确度等。本文的研究目的：(1)深入分析现有入侵检测系统采用的模式匹配和协议分析技术的特点、存在的问题和面临的挑战；(2)分析网络服务的特点、提供网络服务的方式，以便协同提高入侵检测系统的检测效率；(3)构建基于网络行为分析的入侵检测系统，有效地减小检测系统的计算量，提高检测系统的效率。本文的主要工作和贡献包括：首先，本文给出了入侵检测系统的相关背景材料，介绍了入侵检测系统的基本概念、历史、常用技术以及发展和研究的现状，并指出了入侵检测系统面临的挑战和不足，说明了下一代入侵检测系统的要求。第二，通过网络行为分析，将数据包解码成以域为单位的单元数据，从中提取出网络行为及其行为对象。进而对网络行为进行分析，判断这种网络行为是否是有潜在的危险，或者根据对网络行为的统计值与设定的阈值进行比较，判断是否存在攻击行为，这样只需提取数据包网络行为字段的值进行比较就能对攻击进行检测和防范，不用进行运算量很大的模式匹配检测。第三，把网络行为分析和网络服务特征相结合，根据网络服务特征对提取到的网络行为对象进行分析，是正常对象则忽略或放行，只把真正需要进一步分析的不正常的行为对象送到检测引擎，这样就可以缩小模式匹配的范围，从而显著减少模式匹配的运算量，提高检测效率。第四，对基于网络行为分析的入侵检测系统的性能做了分析，并与传统的入侵检测系统进行了对比，结果表明，此系统可以很好的提高检测系统的工作效率。