网络在为用户带来便利的同时，也带来了恶意入侵的风险，由此产生以入侵检测技术为主的主动防护技术。本文从分析计算机用户的角度出发，以用户行为为研究对象，分析审计数据的具体特征，为用户行为建模，并结合机器学习的统计方差算法和最近邻算法，设计实现了一个基于用户行为的异常检测系统。本论文的具体工作如下：　　 ·调研和分析入侵检测技术、攻击技术、用户行为及模型、统计分析方法和基于实例学习的相关知识。　　 ·以计算机用户为研究对象，分析用户行为及其检测属性，针对用户传输行为建模。　　 ·以用户传输行为中的检测属性IP地址和Service为核心，提出服务特征分析的概念，对审计数据进行预处理，减小审计数据的规模，并使审计数据更加规整。　　 ·针对统计方差算法，提出加权因子来调整可信区间的大小，从而在虚警率基本相持的情况下，提高检测率。另外，引入最近邻算法对攻击行为分类，并使用统计方差算法来减小需要计算的已存储实例数目。　　 ·基于提出的异常检测算法和异常检测模型，本文开发实现了一个基于用户行为的异常检测系统 ADSUB，并使用国际通用的入侵检测评价数据集KDDCUP99进行实验，来验证系统效果。我们首先选取部分用户记录作为先验数据，并使用统计方差算法分别计算正常用户行为记录和不同攻击类型记录的均值和阈值，形成正常/异常用户行为轮廓，然后再取部分用户行为记录作为待检测数据，将待检测用户记录与正常记录的阈值比较，分析是否异常，如果异常，则结合不同攻击类型记录的均值、阈值以及最近邻算法，判断异常属于哪种攻击。　　 本论文通过用户行为和检测属性的分析来规蔡审计数据，通过统计方差算法和最近邻算法来提高检测性能，并以此为基础开发实现了一个高效的基于用户行为的异常检测系统ADSUB。