计算机网络已成为现代生活中不可或缺的重要元素，安全问题也已成为信息时代不可忽视的紧迫挑战。入侵检测作为网络安全的重要防护措施，致力于尽早尽快发现入侵，采取记录，报警，隔断等有效措施来堵塞漏洞和修复系统。1994年，Kumar首次将Petri网引入到入侵检测系统中，创建了基于Petri网的入侵检测系统模型。用Petri网表示入侵行为，只需了解入侵初始状态和被入侵状态，不需要知道其入侵方式，把传统的入侵模式匹配法向状态匹配法转变，大大提高了入侵模型的效率。基于Petri网的入侵检测技术对提高互联网安全中起到了非常大的帮助。为了能够描述、分析和抵御异构集成网络环境下日益复杂多样化的网络入侵问题，本文在前人研究基础上将ASAX（Advanced SecurityAudit-trailAnalysis on uniX）和Petri网结合，提出了一种基于Petri网的ASAX的网络入侵模型，并基于Petri网分析方法设计了一个该模型的行为分析方法。主要工作包括：（1）对已有入侵模型进行整理，分析其优缺点，为本文工作提供指导思路。当前网络环境下，各种入侵检测模型种类繁多，但是各种模型之间不能协同工作，并且宽带高速网络模式下，处理大量信息存在问题，导致检测效率的低下，并且存在着模型过于庞大的问题。（2）提出一种基于Petri网的ASAX的网络入侵模型IDM-AP。引入ASAX系统审计数据分析工具，它能将异构操作系统的审计记录转化为标准格式，其通用的基于规则分析语言适用于处理大规模序列化文件，具备更快的信息处理能力。ASAX所依赖的专家系统我们采取有色Petri网对正常/异常行为进行建模，有色Petri网支持不同的类型标识（用不同的颜色表示），支持变量的合一操作以及变迁约束条件，从而减小网的规模，处理模型过于庞大的问题。（3）设计基于Petri网的入侵模型行为分析方法。针对入侵检测模型IDM-AP行为分析问题，我们以Petri网的T-不变量为工具，研究了T-不变量的引发支集与可达图中有向环路上标注的变迁对应特性，把状态方程的解向量进行线性分解，使原解向量改写成网的极小T-不变量的与基础向量的线性组合，分别针对原网Σ=（P, T; F, M₀, W）、逆网Σ^-1=(P, T; F^-1, M d, W)按层序依次构造可达树，通过同步比较当前叶节点层标识以寻找相同标识，从而达到IDM-AP模型中合法行为序列达判定目的。该方法有助于剔除IDM-AP模型中的非合法行为，找出入侵行为。