针对误用检测不能发现未知入侵、异常检测具有较高误报率的现状，本文应用了一个将两种分析手段相结合的检测方法，从网络历史审计数据里应用决策树算法分别得到正常与异常行为规则库。以待检测数据与正常与异常行为规则分别比较，从中得到最优匹配规则，从而判别该行为类型。当发现有系统不能识别的新的数据模式出现时，采用人为干预的方式，将其提交管理员处理，系统在管理员的指导下，更新规则库，使之完备，从而有了识别新数据模式的能力。 为了避免因主机之间行为存在较大差异而引起的误判，在本文中提出以网络历史审计数据为数据源，统计网络中各主机单位时间内访问量，依据聚类算法将主机按访问量聚类建立IP群，以指导网络审计数据的分流，以分流后的审计数据分别建立分类器。待检测数据则根据所属IP群的不同，应用不同的匹配规则。 基于上述方法的网络入侵检测原型系统的实现依托于济南大学校园网环境。在本文中对该原型系统的框架结构、功能实现等内容做了详细的描述。另外，本文对系统性能测试实验步骤与结果进行了详细说明和深入剖析。为了验证系统的有效性，我们做了大量的数据准备。在校园网环境下进行了攻击模拟，对捕获到的入侵数据做了深入分析。并以捕获到的正常数据与入侵数据对系统进行了训练与测试。实验结果表明，系统对已知入侵类型与已知正常数据模式具有较高的检测率和较低的误报率，并具备对未知类型数据良好的识别能力。