随着信息技术和网络技术的发展，信息安全问题越来越受到人们的关注。信息安全是一个系统的概念，包括策略、保护、检测、反应等各方面的内容。入侵检测系统(IDS，IntrusionDetectionSystem)作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时检测，能够在系统受到危害之前做出有效反应。入侵检测系统不仅越来越受到研究者的关注，而且已经成为安全市场上新的热点，开始在各种不同的环境中发挥其关键作用。 本文主要研究基于统计方法的入侵检测技术，从分析进程产生的系统调用序列出发，研究了两种入侵检测统计模型：面向最大似然系统调用短序列的马氏链模型和面向特权流的隐半马氏(HSMM)模型，并通过实验测试了它们的检测效果。 在面向最大似然系统调用短序列的马氏链模型中，我们将每个系统调用看成马氏链的状态，用马氏链来描述系统调用之间的转移规律。模型的运行分为训练和检测两个阶段，在训练阶段，用正常系统调用序列训练马氏链模型参数，然后用Viterbi解码算法求出以某一系统调用开头的固定长度的最大似然系统调用短序列，作为系统的正常特征库;在检测阶段，将程序产生的系统调用短序列与正常特征库中的以相同系统调用开头的最大似然系统调用短序列比较，如果两者的差异超过一定的限度，就认为程序的运行不正常。我们通过实验比较了一阶马氏链模型和二阶马氏链模型的检测效果。 在面向特权流的隐半马氏模型中，我们引入了状态驻留时间分布函数来描述系统在某一状态上的驻留时间，将隐马氏模型扩展为隐半马氏模型，从而更好地描述系统审计数据的特征。文章深入剖析了HSMM算法的复杂度问题，提出了一种适合用于入侵检测且计算复杂度较低的HSMM算法，并结合特权流技术，进一步降低了模型的复杂度。在DARPA1998数据集上的测试表明这种模型具有较好的检测效果。