随着人们对互联网的需求日益增大，网络安全已经逐渐成为了网络各项服务与应用进一步发展急需解决的关键问题之一。入侵检测作为一种积极主动的网络防御安全技术，在网络安全技术体系中起到了非常重要的作用。目前，入侵检测技术中的误用检测技术已经趋向成熟，市场上已经有很多成熟的误用检测的产品。但误用检测不能检测未知攻击的问题，这成为了误用检测的一大诟病。而异常检测技术在未知攻击检测上的优异表现正好弥补误用检测的这一大缺点。目前异常检测技术还很不成熟，刚刚起步，还有很大的发展空间。故异常检测成为了近年来入侵检测的一个重要发展方向。　　 本文是以协议分析为基础，以隐马尔可夫链（HMM）为模型，对异常检测的算法进行设计。文中首先论述了目前网络安全的现状以及对异常入侵检测技术研究的意义。第二章论述了入侵检测的概念与模型以及入侵检测技术的不同分类方式，并对这些进行了分析与总结。着重分析了异常检测技术的概念与原理，并对异常检测技术作了总结。第三章论述了TCP/IP的协议体系，对协议分析技术进行了分析，并对几种主要的协议进行了详细的分析总结。第四章论述了隐马尔可夫链（HMM），首先对隐马尔可夫概念进行阐述，再对隐马尔可夫的三个问题作了分析与总结，并对HMM在实际应用上进行了详细的分析。第五章首先论述了协议分析技术与HMM在异常检测的应用原理，再设计了以协议分析技术为基础，HMM为数学模型的总体异常检测模型，在单个数据包方面，对各种协议进行HMM建模，在数据流方面，提出了一种基于TCP/UDP/ICMP的HMM模型的新思路，设计了训练算法与数据检测算法，并分别对算法设计过程中的模型建立问题、训练初始值问题、收敛问题与阈值界定问题进行了分析与总结并提出了自己的观点。在训练初始值问题上对B的值采用了高斯分布法。在收敛问题上采用了比例因子法来避免训练与检测时出现的下溢问题。在阈值界定问题上提出了一种动态的阈值界定的方法，对阈值设置一个置信区间，落在区间内与落在区间左与右的进行的不同的处理方法，并对这种动态的阈值界定法设计了相关的算法，并还提出了基于易受攻击协议统计、协议数据包分布、正常数据包训练结果、含有攻击的数据包训练结果等因素的综合因素的阈值确定法的思路。以上几点研究内容是利用了MIT实验室所采集的数据DARPA 1999数据集进行了仿真实验，并对实验结果进行了分析与总结。　　 最后，在所研究工作的基础上进行了论文总结，并对下一步的工作的方向和内容进行了展望。