入侵检测系统是在目前网络安全问题日益突出的环境下,提出的一种对网络传输进行实时监控,主动保护自己免受攻击的一种网络安全技术。尽管这项技术经历了长足的发展,但是在某些关键问题上,尤其是在基于系统调用序列的主机入侵检测系统中,还是没有得到很好的解决,例如建模方法不精确,建模过程中存在安全隐患,检测系统的实时检测性能不高等问题仍是当前的研究重点。本文针对这些问题进行了深入的剖析并提出自己的解决方案。本文对短滑动窗口建模方法所带来的安全隐患进行了分析,因为这种建模方法只能覆盖较小部分的检测区域,使攻击者可以通过改变攻击程序的编码顺序或增加删除代码的方法轻松绕过入侵检测系统的监控,达到入侵主机的目的。同时,针对目前广泛使用的提升系统实时性的建模方案,即基于系统调用频率特性的建模方案,本文也从安全性方面进行了分析。指出这种建模方法不仅使正常系统行为的范围扩大造成不能精确建模的问题,还使系统在检测阶段只能事后报警,不能及时报警,降低了系统的可用性。基于这一系列的安全漏洞,我们提出了通过增加滑动窗口长度的方法以提高入侵检测系统的防护能力。并考虑到窗口长度的增加所带来的海量信息,提出了一种高效的建模、检测算法。我们利用非负矩阵分解算法在小波空间上对原始数据进行建模并得到了较为满意的检测结果。试验表明,我们提出的算法不仅可以得到同传统算法一样的检测精度,同时还降低了系统的检测时间,增加了系统的实时处理能力。考虑到在真实的网络环境中收集训练数据存在噪声干扰的问题,使训练数据集不能完全代表正常的系统行为,同时也考虑到提升入侵检测系统效率的问题,本文同样基于非负矩阵分解算法提出了针对系统调用序列的无监督分类方法,其检测速度快、精度高,试验表明这种方法可以在不影响系统建模时间的情况下得到满意的结果。