在计算机网络迅猛发展的今天,因特网(Internet)已经成为人们日常生活中必不可缺少的部分,网络安全也越来越成为人们关注的焦点。当前网络安全防护技术有很多,如防火墙,访问控制和数据加密等。但是这些技术都是静态防御技术,不能完全确保网络的安全和抵御黑客的攻击。在此背景下,主动且动态地对网络进行安全防护的入侵检测系统不可避免地成为网络安全发展的一个新方向,是传统网络安全技术的必要补充。 隐马尔可夫模型(HMM)具有模型研究透彻、算法成熟、效率高、效果好、易于训练等优点,在多个领域有着广泛的应用,如语音识别等,此模型应用在异常入侵检测方面可以减小误报率、增加检测率。本文分析了系统调用信息在入侵检测中的应用,提出了一种新的基于系统调用序列和隐马尔可夫模型的异常检测方法。对操作系统中正常守护进程所发出的系统调用建立了一个隐马尔可夫模型,并对此模型在入侵检测中的应用做了改进,缩小了模型的建模和检测范围。在此基础上,提出了两个用于实时异常检测的算法:平均概率法和概率匹配法,并和stide方法进行了比较。实验证明该算法准确率高、算法简单、检测速度快,适合用于在计算机系统上进行实时检测。