入侵检测是信息安全防护研究领域中的一个重要环节。本文重点对入侵检测中的木马检测、蠕虫检测、主动欺骗防御、检测防御框架关键技术进行了研究，并以LINUX系统为平台实现了若干系统原型。本文取得的成果有：　　 (1)通过对木马隐藏特性的研究，提出了木马协同隐藏思想，对木马协同隐藏进行了形式化描述。在LINUX系统上实现了一个体现协同隐藏思想的原型木马。该木马原型从可行性测试上可以避过两种主流入侵检测系统和三种木马扫描检测系统的检测，验证了实时检测对抗技术和网络隐蔽通道技术的有效性。　　 (2)提出了一个木马多级检测防御框架(aMulti-levelProtectionFrameworkforDetectingandDefendingagainstTrojanHorse)。木马检测没有通用算法，因此MPFD2TH将木马攻击对象进行分级保护，有针对性地检测各个对象的活动情况。MPFD2TH融合多种技术，涵盖了木马攻击的整个生存期。MPFD2TH的针对性强、覆盖面广的特性使其具有良好的应用前景。　　 (3)从主动防御的角度，系统地研究了蜜罐技术。提出了一个特征提取算法，实现了一个能够自动获得入侵模式的蜜罐。这一蜜罐体现了积极防御思想，能够模拟网络拓扑结构和多种操作系统，扰乱黑客攻击；应用模式匹配技术，对协议的多个部分进行检测，自动生成入侵检测特征；支持简单网络管理协议，可以融入到已有的安全防护体系中，为联合防御提供支持。　　 (4)在分析蠕虫传播特点的基础上提出了一种新的使用本地网协同检测蠕虫的算法。该算法注重分析扫描蠕虫在本地网的行为，针对不同的行为特性使用不同的处理方法。通过协同这些方法，给出预警信息揭示蠕虫在本地网络中的活动情况。预警信息的级别反映报警信息可信度的高低。实验证明该方法可以准确快速地检测出入侵本地网络的扫描蠕虫，其抽取出的蠕虫行为模式可以为协同防御提供未知蠕虫特征。　　 (5)提出了一个主动的深度检测框架。它以大规模网络为检测对象；拥有多级监控中心，采用分布式体系结构；设有蜜网，采用主动防护技术，能够深入研究黑客攻击，识别未知的入侵行为；利用攻击树表示入侵，减少了协同部件间的信息传输量，提高了系统效率。　　 总之，本文对入侵检测中的若干关键问题进行了研究，为今后的积极安全防御和高效检测恶意代码的工作提供了理论基础和指导依据。