随着互联网的不断普及,越来越多的公司将其核心业务向互联网转移,网络安全作为一个无法回避的问题就呈现在人们面前了。网络入侵的风险性和机会性也相应地急剧增多,设计安全措施来防范未经授权的用户访问系统的资源和数据,是当前网络安全领域的一个十分重要而迫切的问题。为此入侵检测技术的发展为我们解决这种问题提供了有效的手段。基于主机的入侵检测,其特点是以网络中的各个主机的日志文件作为主要的数据来源,通过对日志记录的分析来检测可疑入侵行为和攻击;同时它能够监视关键的系统文件和可执行文件的完整性、监视主机服务端口的活动,进而发现非法入侵行为。基于主机的入侵检测作为入侵检测领域的一个重要组成部分,在当今信息社会活动中越来越发挥着极其重要的安全保障作用。本文介绍了入侵检测定义、分类、发展及其模型,并着重介绍了基于主机的入侵检测的特点,详细阐述了其结构特征,并论证了基于主机入侵检测的优点。本文在着重阐述基于主机入侵检测原理的基础上,详细阐述了三种基于主机的入侵检测方法:基于免疫原理的、基于频繁统计滑动窗口的、基于权值树的三种入侵检测方法。这三种检测方法通过对基于主机的系统调用序列进行相关的分析,进而得出行为是否异常结论。基于免疫的入侵检测方法,是结合生物学免疫原理实现的一种检测方法。该方法是入侵检测系统中经典常用的检测方法,它也是其它检测方法的思想基础。文中阐述的基于频繁统计的滑动窗口检测方法、基于权值树的检测方法的检测思想均源于此方法。基于统计的滑动窗口检测方法是本文提出的,是运用滑动窗口的序列处理技术,并结合频繁模式挖掘中的统计思想而实现的一种全新检测算法。该算法通过统计被检测序列所产生的滑动窗口序列集中系统调用出现的频繁次数,进而判断用户行为是否异常。基于权值树的检测方法是本文重点讨论的另一种新的检测方法。它采用树的存储结构,使用滑动窗口技术对系统调用序列进行处理,并且将序列蕴含的关联