随着计算机技术和网络技术的迅速发展,计算机系统已经从独立的主机发展到复杂的、互联的开放式系统,计算机安全和网络安全的重要性显得越来越突出。作为安全模型的核心技术之一的入侵检测技术已是安全研究的重要领域,它检测和识别针对计算机系统和网络系统的非法攻击或违反安全策略的行为。我们以系统调用为数据源,针对当前基于系统调用的入侵检测方法研究的不足——短序列法只能保留同一短序列内的系统调用的时序关系,而状态转换法能完整保留系统调用间的长距离时序信息,但不适应处理系统调用这样大批量的信息,且不能检测未知类型攻击产生的系统调用序列。在以往研究的基础上,提出将状态转换方法加入统计方法来协助分析。由于系统正常运行时产生的系统调用序列存在一些比较固定的模式,大多数统计方法都能抓住这个特性,且统计方法最大的优点是有很高的效率和可用性。本文所采用的多元统计方法更能反映时序性,即系统调用间前后的相关性,使用霍特林统计方法根据系统调用的功能和危险程度的分类情况来量化缩小检测范围、加快速度。状态转换检测为了结合多元统计计算的异常度,对系统状态的基本空间的定义和转换规则做出多个改进,包括增加直接和间接转换,并累计计算异常程度来判断入侵行为的发生。设计并实现了该模型的原型系统,给出数据源、规则定义以及问题描述。根据两组训练数据和两组系统调用分类来对比实验结果,进行结果分析和性能的评价。测试表明该模型由于对异常行为和高威胁度行为的统计量分析和处理,提高了检测的速度和效率,同时实现了基于统计方法的异常入侵检测和基于状态检测的误用入侵检测多技术、多方法综合检测,弥补了单一检测方法的不足。