信息化的快速发展带来诸多网络安全威胁等伴生性问题,各种目的的网络攻击却越来越频繁,导致信息泄漏财产损失,尤其是近年来OpenSSL Heartbleed漏洞和各种0day漏洞最为突出。入侵检测技术已成为社会急需解决的重大问题。当前的攻击手段已经从破坏传输协议的网络层攻击,逐渐变为利用各种漏洞、木马病毒来获得访问权限和提升权限等应用层R2L (remote to local)和U2R (user to root)攻击。网络层上捕获的数据流都是正常,但依靠事件的发生顺序,将报文或命令按照某种顺序排列则构成了一次攻击。另外攻击序列的微小变化而衍生出大量变种新攻击将使基于模式匹配的入侵检测失效。检测出应用层的U2R和R2L攻击及其变种攻击,使之对攻击的刻画更严谨和检测更准确,已成为当前入侵检测的重点与难点之一。针对当前应用层U2R和R2L攻击的入侵检测方法的不足,本文对入侵检测机制进行了研究,完成的工作如下：研究了从攻击数据中挖掘攻击序列,将一个已知攻击序列通过等价变换和拓扑排序组织成一类攻击,以形成入侵场景的技术,提出了基于序列模式和PN (Petri Net)机的场景入侵检测模型。网络数据预处理后,通过协议解析重组应用层会话,还原攻击意图,提取判别入侵的协议特征数据,作为序列模式挖掘的输入得到频繁攻击序列。研究攻击过程中对象的状态及其变迁的内在联系,设计策略,使之得到关键攻击序列；关键攻击序列进行等价变换和拓扑排序,把攻击及其所有衍生的变种攻击组织进一个场景,以扩展形成一个入侵场景或一类入侵。构造入侵行为表达式,将操作行为表达式转换至PN机,使之并发描述攻击序列并检测。可以检测出只出现一次特征的应用层序列攻击,解决攻击及其未知的变种攻击的检测问题。通过CPNTools仿真工具实验表明,从应用层会话数据挖掘攻击序列,构建基于场景和检测一类入侵行为的PN机,实现检测某些攻击特征序列在一次攻击中只出现一次的目标；未知变种攻击作为一种新的攻击形态,实现检测已知攻击及其未知变种攻击的目标,因而从这种意义上说本文的方法能检测到新的攻击行为。分析模型复杂性,同时也降低了用于入侵检测的Petri网的复杂度,减缓了状态组合的复杂性。使入侵检测在对U2R和R2L入侵的刻画更严谨,表达和检测的更准确。