随着网络技术的发展和应用范围的扩大,人们越来越依赖于网络进行信息的处理。但是由于网络攻击工具和攻击手段的日趋复杂化和多样化,仅仅依靠传统的网络安全防范措施己无法满足对网络安全的要求。面对数量庞大、变化多样的各种网络攻击,要建立高效而灵活的安全防范措施是一项艰巨而富有挑战性的任务。入侵检测技术是近年来发展迅速的一种新型的网络安全技术。目前基于主机的入侵检测技术——无论是针对已知的攻击特征还是针对系统异常——都将注意力放在对于攻击过程的研究和挖掘上。虽然通过对恶意攻击过程中所表现的模式特征进行研究和分析可以在一定程度上防止某些攻击对系统造成危害,但是在对某个操作是否为恶意攻击的判断上却比较容易出错,从而产生大量的错误报警。本文从信息安全技术这一角度入手,介绍了目前入侵检测系统的种类及概念,然后介绍了目前入侵检测系统采用的安全技术,最后,通过分析应用程序在执行时的系统调用序列,针对目前大多数基于异常的入侵检测系统容易发出错误警报的普遍问题,深入分析了现行系统发出误判的根本原因,并依据用户操作和恶意攻击之间的本质区别提出了一种新的入侵检测技术。通过降低错误报警率、提高检测攻击的准确度,可以使管理员将更多的精力放在恶意攻击上而不会被错误报警所困扰,大大提高了系统管理员的工作效率。由于进程执行的所有关键操作都必须通过系统调用从用户态转换到内核态来完成,因此可以通过记录系统调用序列来获得进程的活动。当检测到异常的系统调用时,可以终止该进程的运行,这样可以防止恶意攻击对系统的入侵。由于系统调用的精确性,入侵者很难修改系统调用以掩饰攻击。合法作用域的建立以程序的系统调用信息为依据,并采用了有限状态自动机对其进行建模。每一个合法作用域由一个状态来表示,它包含程序运行时的有效用户标示和有效组标示,据此检测系统的异常行为。实验结果表明该方法可以检测到利用应用程序代码漏洞而发起的攻击,并且有较低的错误警报率。