该文在现有研究成果的基础上,从对复杂特征的分析入手,采用模块化的方法,借助Petri网设计了一种具有较强适应能力的复杂特征入侵检测模型.该模型将复杂特征按照选择、并发、顺序、排除、重复等结构划分成相对独立的子特征,通过组合简单特征的检测结果识别复杂入侵.与现有系统相比,该模型对入侵特征具有更强的描述和检测能力,且不受数据源类型限制,具有更好的通用性.针对检测过程中可能出现的中间事件过剩问题,该文提出了一系列优化策略,并在模块化的基础上设计了事件的抽象和特征复用机制,不但提高了检测效率,还为响应单元提供了统一的接口.以该模型为基础在Linux平台上实现了基于内核事件关联的主机型入侵检测系统SAINT,通过实践检验了模型的正确性和优化策略的有效性.同时SAINT在实现过程中运用了组件技术,具有良好的可扩展性,符合入侵检测系统的发展趋势.