本文首先介绍了入侵检测技术的发展与现状。在总结迄今已有的入侵检测系统的基础上，通过将图论技术应用到入侵检测系统当中，提出了一种基于网络行为图的入侵检测系统模型，主要针对大规模网络中的分布式和协同攻击进行检测。在该模型中，将子网和主机看作节点，而各主机或子网之间的连接看作边，这样网络中的所有行为都将被转化为相应的图的形式，利用图论中的相关算法进行匹配以判定是否为入侵行为。实现此功能的模块为图形建立引擎，它是整个入侵检测系统的核心部件。为了使信息处理更加灵活，基于行为图的入侵检测系统的结构被划分为一个层状的树型结构，并定义了模块管理器、软件控制器等相关模块，通过它们对整个系统进行管理和控制，本文对系统也做了详细的设计。在以上内容的基础上对整个基于网络行为图入侵检测系统的层次结构模型和模型内各模块之间的协同工作方式进行了详细分析。在提出具体的入侵检测系统模型之后，对系统中行为图匹配算法提出了改进，使用Eppstein算法取代了原来的匹配算法，将算法的时间复杂度由指数范围提升到了线性范围之内，并对该算法进行了理论证明。最后从理论上对GrIDS模型在针对大规模网络中分布式和协同攻击时的优越性进行了分析验证。