随着互联网进入生活的各方各面,网络入侵也日益成为人们面临的安全问题。因此,有效地检测到网络入侵行为具有十分重要的意义。网络入侵检测方法分为基于特征的入侵检测和异常行为检测。基于特征的检测主要针对已知的攻击行为,异常行为检测则是通过网络的异常来实现检测。但目前的方法,都存在着误报警率高的问题。对未知入侵行为的有效检测一直是人们研究的热点问题。网络的异常行为可能是因为攻击,也可能不是因为攻击,但对网络正常运行来说,都是值得注意的。本文采用统计的方法来对异常行为进行检测,而不检测出现何种攻击：论文首先对正常行为的网络实验数据进行统计采集,获得正常行为的统计特征参数；然后统计分析含有入侵的数据,获得入侵行为影响到的主要特征参数；提出采用参数检验的方法和基于距离判别的方法来实时检测异常行为,并通过实验数据进行检验。主要的研究包括：(1)介绍了在网络入侵检测系统中广泛应用的Lincoln实验室的网络入侵的数据集；探讨和研究了snort等网络入侵检测系统,并设计了采集网络入侵数据集的算法；分析了网络入侵的主要方式,并对数据集中出现的网络入侵进行原理分析,分析其表现出来的异常统计特征。(2)通过对网络入侵特征的分析,获得一些能够反应网络入侵的统计特征参数,确定了需要统计的网络行为统计特征,如IP流量、ICMP流量、端口访问量等；利用设计的采集系统采集正常流量数据,获得正常网络流数据的统计特征；采集含网络入侵行为的数据集,并对比网络中正常数据流和入侵数据流的的统计特征,证实了某些统计参数特征能正确反应入侵的行为。(3)提出网络异常行为的参数检验方法,对正常情况下的统计获得正常样本的经验分布,当某种统计特征数值出现在正常样本经验分布的小概率事件范围时,可以判断其出现了异常；提出基于距离判别的方法来实时检测异常行为,在综合各种入侵特征的基础上,给出一组特征组成测试样本向量,对正常情况下各个特征统计出样本向量的样本均值和样本协方差矩阵,求出检验样本向量是否与正常网络流有较大的距离,从而判断是否出现了网络异常。