入侵检测系统是计算机网络安全的重要组成部分，它实现对入侵信息实时检测的功能。入侵检测系统一般采用基于网络的，采用误用检测技术的。采用误用检测技术的优点是精确；但它的主要弱点是速度上的限制和对新的攻击无能为力。异常检测技术能够检测到新的攻击行为，是入侵检测系统发展的热点，是误用检测技术的有益补充。但这种技术方法目前还不是很完备，还处于研究热点之中。本论文讨论的入侵检测系统—ANIDS(Anomaly-based Network Intrusion Detection System)是基于网络的，采用异常检测技术。 异常检测的前提是假设入侵者的活动与正常主体的活动是不一样的，然后根据这种“不一样”来作为判断是否入侵行为的依据。 ANIDS是基于异常检测技术的入侵检测系统，它从两个方面来实现异常检测。一个是对异常数据包的检测，另一个是对异常网络流量来进行检测。本论文从这两个方面设计了一个入侵检测系统(ANIDS)，并加以实现。 在异常数据包检测方面，首先从IP数据包的角度来分析异常数据包的一些可能的特征，从而得出异常数据包特征的一些规则集。其次，ANIDS根据规则集中的规则来进行检测入侵。若发现当前数据包异常，则进行报警。 在异常网络流量检测方面，首先确立测度集和建立模型，从网络中实时捕获样本值。其次，根据信息库中保存的信息，对当前流量进行检测。若发现当前流量异常，则进行报警。 ANIDS有三种报警方式：声音报警，实时页面报警和日志。 最后，对ANIDS进行了测试。在真实网络环境运用ANIDS检测出一些攻击事件，并在模拟环境中运用一些常用的入侵工具对装有ANIDS的服务器进行攻击。从检测效果看，基于异常数据包检测与异常网络流量相辅相成，效果良好。