随着计算机技术在政治、经济、军事等领域日益普及和广泛应用，社会生活对计算机系统的依赖逐渐加深，信息安全事件对社会的影响日益严重，信息系统的安全问题比过去任何时候都显得更为重要。与此同时，随着信息系统的复杂化和网络互联技术的发展，计算机系统遭受入侵的可能性急剧增加，信息系统所面临的威胁更加严重，如何保证信息系统的安全运行成为亟待解决的问题。 随着计算机技术和安全技术的发展，信息安全已由当初的重视信息保护和攻击抵御发展为现在防护、检测、响应、恢复及进一步改善防护机制的动态安全体系结构。基于主机的入侵检测是对操作系统中访问控制技术的有效补充，它试图通过对系统行为的观察、审计数据的分析等来发现系统异常行为，进而识别并制止入侵行为，并为改善防护机制提供一定的指导信息，主机入侵检测系统在系统安全体系结构中具有不可替代的地位和作用。 尽管主机入侵检测技术近年来得到了较快发展，出现了多种新型的检测模型和检测算法，要开发出成熟、实用的主机入侵检测系统，仍有许多关键技术亟待进一步提高和完善。本文主要针对基于主机的入侵检测的一些关键技术和热点问题进行研究，具体内容包括： 入侵检测系统观测到的异常并不都是由外界攻击而引起，不能通过单个异常或简单地累加这些异常来判定入侵，尽管从入侵检测系统自身来讲，这些异常都表现为与正常行为模式库的不吻合。本文详细分析和讨论了导致系统异常的各种原因，从是否应该判定入侵的角度把这些异常分为：由外界入侵或被测系统发生错误、故障而导致的真异常和由于入侵检测技术自身或系统训练程度不够而导致的假异常。假异常干扰了入侵判定过程，由于正常行为建模和训练等方面的局限，不可能直接消除假异常，淡化假异常在入侵判定中的作用是减低假异常干扰的有效途径。本文对不同原因导致的异常在时间和空间上具有的不同分布规律进行了分析和探讨，进而提出在入侵判定过程中突出真异常、淡化假异常的具体依据——入侵的异常关联性。 以往的异常检测算法主要通过单个异常或简单累加所发生的异常来判定系统是否受到入侵，很少直接考虑异常点间的内在联系，这些入侵判定算法没有体现异常关联性，入侵判定过程受到假异常的干扰比较严重。本文依据入侵的异常关联性，提出一种新的入侵判定方法，该方法充分考虑异常点间的关联关系，能有效突出真异常在入侵判定中的作用，有助于提高入侵检测的准确性。 攻击者通过冒充系统用户操纵系统或合法用户权限滥用是目前主机系统面临的重要威胁之一，通过系统中用户行为的监测能有效检测出这类攻击。用户行为一般可通过其执行的命令序列来反映，用户被冒充或滥用权限时，该用户行为会与其历史行为发生大的变化，这可在其执行的命令上体现出来。本文在相关研究的基础上提出了针对用户冒充的异常检测模型STIDS，该检测模型根据用户行为特点，以用户在固定时间段内命令的使用频率建立用户的正常行为轮廓；在进行用户行为自学习时采用延迟更新及缓冲更新机制，以提高用户行为自学习的准确性和用户正常行为轮廓的更新效率；以用户行为的异常积累进行入侵判定，根据异常关联性计算衍生异常度，并在用户行为的总异常度计算时采用衰减机制，既能体现异常状况的积累，又能很好地体现异常的时效性，使得入侵判定更加准确。 相关研究表明，目前很多入侵是利用系统中对外服务程序的安全弱点实现，针对这些关键程序进行攻击是非法用户入侵系统的主要手段，监视这些程序的运行状况是否异常就可检测出大部分系统入侵。作为操作系统对应用程序提供的操作接口，系统调用状况在一定程度上能够反映程序的行为特征，程序受到入侵时将在其所执行的系统调用上有所体现。本文在相关研究的基础上提出了针对关键程序(主要指网络服务器)的异常检测模型CTBIDS，该检测系统在准确描述程序正常行为特征的基础上，以基于异常关联性的衍生异常度计算和异常的有限积累为基础判定程序入侵，既能体现异常状况的积累，也能很好地反映入侵的异常关联性，并通过统计分析确定入侵判定所需参数，使得入侵判定更加准确。