Internet蓬勃发展到今天,计算机已经从独立的主机发展到复杂、互连的开放式系统,这给人们在信息利用和资源共享上带来了很大的便利。由Internet来传递和处理各种生活信息,早已成为人们重要的沟通方式之一,随之而来的各种攻击事件与入侵手法更是层出不穷,引发了一系列安全问题。曾经作为最主要的安全防范手段的防火墙,已经不能满足人们对网络安全的需求。作为对防火墙及其有益的补充,IDS(入侵检测系统)能够帮助网络系统快速发现攻击的发生,它扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。入侵检测作为一种积极主动的安全防护技术,也越来越受到人们的关注。本文首先讨论了网络安全现状,包括网络安全问题、网络安全目标和网络安全技术。接着对入侵检测系统进行了详细地论述,包括发展历史、研究现状、相关定义和分类等各个方面的内容。入侵检测系统根据检测的数据源可以分为基于主机的入侵检测系统和基于网络的入侵检测系统,本文主要探讨了基于Linux的主机入侵检测系统。通过将应用程序的经常调用的库函数短序列构造一个正常行为特征库,以界定程序操作是否属于正常行为特征库内的库函数来判断系统是否受到攻击,我们认为应用这样一个特征库可以用于入侵检测。本文的主要工作就是实现这种以库函数调用作为数据源的,基于主机检测的入侵检测系统,用于检测来自内部和外部的攻击。这套入侵检测系统主要由审计数据采集模块、审计数据发送模块、正常行为特征库的建立和管理模块,异常检测模块和入侵响应模块组成。通过使用大量的攻击程序进行测试,本文提出的基于Linux的主机入侵检测系统对于外部攻击、内部攻击、缓冲区溢出攻击等具有良好的检测效果。