从20世纪80年代后期起,基于系统调用的入侵检测方法的研究蓬勃兴起,并且取得了很大成功,为入侵检测技术的发展开辟了新的研究方向。　　 该方法是通过统计短序列在短期内出现的情况来判别是否异常。判断的基本依据是短序列出现的概率。基于系统调用序列的入侵检测方法的优点是模型简单。在S.Forest最初方法的基础上,许多研究者陆续提出STIDE、T-STIDE以及Markov模型等的研究方法。其中Markov模型是一个状态转移概率模型。在该入侵检测模型中,需要根据训练集中的短序列构造Markov模型的状态和转移概率矩阵;然后,根据建立好的模型来检测测试集中的短序列。这些方法和模型或多或少地提高了检测效率。　　 本文提出了基于系统调用序列的改进Markov模型入侵检测方法。主要对基于Markov模型的入侵检测方法进行了3个方面的改进:1)、提出基于系统调用序列的双层Markov入侵检测模型;2)、提出基于系统调用序列的Markov压缩模型;3)、提出基于路径熵的检测方法。这些改进的优点是提高了检测效率和增强了模型的扩展性。　　 实验部分针对不同数据源,首先根据2)和3)两点改进建立了改进的Markov模型;其次对数据源进行了分析,提出了训练数据源的选择方法;再次对检测率和误报率进行了测量;最后对比了改进的Markov模型与其它模型的效率。另外实验中还实现了压缩的Markov模型。　　 对实验结果的分析表明,改进的Markov入侵检测模型不但能够正常工作,而且还能提高检测率和降低误报率;同时,实验中通过哈希的存储结构来实现Markov模型,训练时间显著减小和检测速度有了很大提高。　　 另外,采用基于路径熵的检测方法涉及到3个必须的参数,可以根据不同的精度要求来调整这三个参数。实验中给出了这三个参数的建议取值范围。该检测指标精准度高、简单、易配置,是对入侵检测指标的扩充。　　 因此,本文的改进方法不但具有良好的应用价值,而且具有一定的理论研究价值。