随着互联网的普及和信息技术的发展，网络入侵也日益成为人们关注的安全问题。目前的入侵检测技术存在：检测误报率较高；无法有效检测未知攻击等问题。为了解决上述问题，本文在协议分析技术的基础上，利用确定有限自动机，把网络数据抽象得到网络行为，通过判断其行为是否属于用户的正常范围来检测入侵。　　网络行为分析技术克服了传统入侵检测技术的盲目性，有效提高检测的准确性，而且能够在一定程度上检测未知类型的攻击。　　论文的主要工作包含如下几个方面：　　（1）概述入侵检测技术的原理以及发展现状。对经典的 Snort入侵检测系统进行详细介绍，通过实验分析 Snort系统存在的缺陷，并简要介绍更有优势的协议分析技术；　　（2）针对 Snort入侵检测系统自身安全性考虑不足的问题，采用分层的思想，构造一种基于Snort的分层入侵检测框架。通过引入Snort入侵检测分层框架，提高了系统的自身防御能力；分层结构使系统各层次独立部署，极大地简化了系统的配置和调试工作；　　（3）在协议分析技术的基础上，利用确定有限自动机（DFA），设计一种应用层行为分析模型，并对 Snort入侵检测系统进行框架改进和部分模块优化，从而提出一种基于网络行为分析的Snort入侵检测改进模型BA-IDS(a improved model for snort intrusion detection system based on behavior analysis)；　　（4）对BA-IDS模型的DFA行为检测模块和整体性能进行分析，并与原有的 Snort入侵检测系统进行对比测试。实验结果表明，基于网络行为分析的BA-IDS入侵检测模型，在检测的准确性和系统性能方面具有明显的优势。