当计算机网络迅速发展，网络地位越来越重要的时候，对网络的各类攻击与破坏也与日俱增，网络安全成为信息时代人类共同面临的挑战。入侵检测作为一种主动的保护技术，是目前网络安全的核心技术之一，它通过从计算机网络或者计算机系统中的若干关键点收集信息并对其分析来发现网络或者系统中是否有违反安全策略的行为。入侵检测规则语言身为入侵检测系统中用于定义攻击场景的规范，不仅影响到系统的检测能力，还影响系统的执行效率。因此，入侵检测规则语言的研究成为网络安全的重要问题。 本论文的研究建立在粤港关键领域重点突破项目“综合联动线速程控网络安检机”(简称安检机)上，希望能为安检机提供一种描述能力强、检测速度快、适合在嵌入式系统中使用的安全威胁描述语言。安检机是一种新型的网络安全设备，为了实现告诉的综合联动的安全防护，基于规则的检测是关键。 本文首先概述了网络安全面临的问题和当前的一些网络安全技术，并由此引出了安检机的研究意义；然后简要分析了当前一些常用网络攻击的原理和检测方法，并对现有的攻击描述语言进行了研究。在综合各种攻击描述语言特别是STATL语言的优缺点基础上，提出了一种安全威胁描述语言RSTATL(Reduced State Transition Analysis Technique Language，简称RSTATL)，这是基于状态转换的安全威胁描述语言，它是以状态转换分析技术为基础，通过构造状态转换图将系统状态和STD(State Transition Diagram)中的状态声明进行匹配，从而检测到攻击行为。RSTATL一方面借鉴了 STATL(State Transition Analysis Technique Language)中使用状态转换技术的优点，另一方面通过简化STATL的语义，解决了STATL执行语义复杂而导致的大量系统内存和处理器资源的消耗问题，从而使在嵌入式系统这种资源有限的环境中实现高速的状态图引擎成为可能。 本文给出了RSTATL的语法和语义定义，以及攻击场景实例的对比分析。然后设计了RSTATL规则编辑GUI，这是一款符合RSTATL的规则编辑器，可以通过画状态图的方式得到RSTATL规则。接着把网络攻击的特征进行“抽象”，设计了可以通过不同参数值确定规则的“模型”，给出了模型定义和使用的实现。最后，给出了把开放的Snort规则库的规则转换为RSTATL状态图规则的转换器的设计与实现。