随着Internet在全球的普及和发展，入侵检测系统正在成为网络安全体系中不可或缺的重要组成部分。本文的目标是在Linux2.6系列内核的环境下，构造基于主机的入侵检测系统。系统采用针对特定进程的系统调用及相关的进程信息为数据源，以系统调用短序列和最大似然系统调用短序列为匹配模型。当检测到异常时，系统将能自动以系统调用延迟、调整进程调度优先级、中止进程、屏幕打印警告信息等方式做出自动反馈。本文的所有工作都是基于i386体系结构。 本文的研究内容主要包括： (1)针对Linux2.6系列内核，提出了一整套系统调用及相关进程信息的截获方法。由于最新版本内核在系统调用实现方式上的变化，已有的系统调用截获技术已经无法获取到所需的系统调用数据。本文提出的方法能够做到高效地获取80中断或sysenter指令两种方式所引发的全部系统调用的信息。 (2)介绍了如何实现一个快速而准确的数据分析算法，作为我们入侵检测系统的数据分析引擎。该算法兼顾了分析的准确性和计算时的CPU消耗，能够帮助我们提高入侵检测系统的实时性。 (3)提出并实现了一整套入侵检测结果的响应方案。该方案能够自主且灵活地对检测结果做出适当的反馈，且尽量保证当检测出现误报时的错误响应代价不致过大。 本文深入探讨并实现了在Linux2.6内核版本中构建基于主机的入侵检测系统的一些关键技术，并对系统本身做了比较全面的介绍。本文所做的工作对于实现具体的实时入侵检测系统具有一定的参考价值。