随着信息技术和计算机网络的飞速发展,网络安全也越来越成为人们关注的焦点。如何迅速的发现入侵行为,并且主动地对网络进行安全防护成为网络安全领域的一个难点,这时入侵检测技术应运而生,入侵检测技术是一种主动且动态的对网络进行安全防护的技术,是对传统的防火墙、数据加密等静态防御技术的有力补充。入侵检测的目标是检测那些非授权、越权的系统内部和外部的入侵或攻击行为。基于主机的入侵检测系统通过监控系统进程来实现对重点主机的保护,由于大多数的攻击最终都要通过非法改变系统调用的执行轨迹来达到目的,因此通过监控特权进程的系统调用序列能及时的发现和阻止入侵行为,实现对计算机系统的保护。　　 本文首先介绍了入侵检测技术的研究现状与发展趋势,分析了入侵检测系统的体系结构、检测原理和评估标准。其次陈述了系统调用的概念、系统调用的执行过程,并研究了截获系统调用的常用方法,然后重点研究了目前基于系统调用的入侵检测的常用算法,并对现有的基于系统调用的入侵检测算法进行分析和比较。由于隐马尔可夫模型(HMM)具备算法成熟、效率高、效果好、易于训练等优点,本文构建了一个基于隐马尔可夫模型的主机入侵检测模型,设计并实现了系统数据采集模块、数据预处理模块、隐马尔可夫模型训练模块和检测模块。该模型的数据采集模块通过LKM机制来截获进程执行时产生的系统调用序列,改进的LKM机制可以在内核高效的获取系统调用信息。针对现有算法训练时间过长的不足,本文对数据预处理算法进行改进,用系统调用序列通过滑动窗口产生的加权值的频繁特征序列集作为模型的训练数据,明显减少了模型的训练数据量,同时对隐马尔可夫模型的训练算法做出改进,减少了正常行为模型的建模时间,检测模块采用输出概率阈值进行入侵判断。　　 最后,对所提出的模型进行了实验,通过对实验结果进行分析,验证了改进后的模型和方法能够有效降低模式库的规模,实现了较低的误报率以及较少的模型训练时间。