随着计算机网络的迅速发展,Internet已经成为人们日常生活中必不可缺少的部分,网络安全也越来越成为人们关注的焦点。如何迅速有效地发现各种入侵行为,对于保证系统和网络资源的安全显得十分重要。传统的防火墙、数据加密等静态防御方式已很难胜任网络安全的需要,入侵检测技术应运而生,它是一种主动地对网络进行安全防护的技术,是传统网络安全技术的必要补充。入侵检测系统在计算机安全系统中发挥着越来越重要的作用。针对入侵检测方法和技术的研究已经引起人们越来越多的重视。从检测技术看,入侵检测可以分为滥用检测、异常检测和基于规范的检测三类。滥用检测指运用已知攻击方法,按照已定义好的入侵模式,通过判断这些入侵模式是否出现来检测。即任何不符合特定匹配条件的活动将被认为是合法和可以接受的,即使这些活动中包含着隐蔽的入侵行为。滥用检测由依据具体特征库进行判断,而且检测结果有明确的参照,所以不仅检测准确度很高,也为系统管理员作出相应措施提供了方便。滥用检测的缺陷在于检测范围受已知攻击知识的局限；另外检测系统对目标系统的依赖性太强,这使系统移植性不好,维护工作量大,并且将具体入侵手段抽象成知识也很困难。本文针对滥用检测存在的上述问题,从入侵检测系统的发展和现状入手,针对国内外有关入侵特征分析的检测方法进行深入研究。首先,分析当前基于状态转换的入侵检测系统的方法,包括状态自动机和Petri网建模方式。通过分析已有的有限状态自动机和Petri网模型所面临的状态组合爆炸问题,将有色Petri网引入到入侵检测中；其次,针对当前入侵攻击序列中,对象状态变迁的关键操作提取和语义处理难的问题,引入过程挖掘的方法,通过增量学习的方式来构造和更新入侵模型。最后,利用上述检测模型检测入侵的方法,对权限提升与变种攻击进行检测实验。实验结果表明本文使用的方法用于入侵检测有较好的检测效果。