1.一種主機入侵檢測方法，其特征在于：是在截獲主機行為的基礎之上，尋找主機行為與入侵行為間的關聯性，并根據規則定義，產生報警和其它指定行為；

該方法包括如下步驟：

步驟1、定義規則；

步驟2、在控制中心應用規則，規則被自動下發到所有主機引擎上并被應用；

步驟3、根據入侵行為的增加、改變、失效更新規則庫。

2.根據權利要求1所述的一種主機入侵檢測方法，其特征在于：定義規則包括如下步驟：

(1)定義事件規則：可以針對主機系統的注冊表、文件系統、日志系統、網絡驅動和關鍵應用程序的異常狀況進行定義；

(2)定義事件響應規則：針對事件規則中定義的異常提供只報警、只日志、阻斷、報警+日志、日志+阻斷、報警+阻斷、報警+日志+阻斷的處理。

3.根據權利要求1、2所述的一種主機入侵檢測方法，其特征在于：定義規則包括事件變量和行為標識兩大部分；

事件變量需要包含事件名稱、事件ID，事件分類ID，可支持邏輯操作符描述和事件文字描述5個要素；

行為標識為對于事件對象有意義的行為，依賴事件變量的分類不同而不同。

4.根據權利要求1所述的一種主機入侵檢測方法，其特征在于：按照“時間”和“重復程度”合并歸納報警信息。

5.根據權利要求1所述的一種主機入侵檢測方法，其特征在于：監視自身進程和監測結果被篡改的事件。

6.根據權利要求1所述的檢測方法的一種主機入侵檢測系統，該系統包括一臺或多臺部署控制端的Windows主機，一臺或多臺部署引擎的Windows主機，網絡連接設備等，其特征在于：控制端形成層次性部署，部署主控制端的主機只有一臺；所有引擎接受控制端的控制并向其反饋報警信息，規則匹配在引擎端發生。

7.根據權利要求3所述的檢測方法的一種主機入侵檢測系統，該系統包括一臺或多臺部署控制端的Windows主機，一臺或多臺部署引擎的Windows主機，網絡連接設備等，其特征在于：控制端形成層次性部署，部署主控制端的主機只有一臺；所有引擎接受控制端的控制并向其反饋報警信息，規則匹配在引擎端發生。

8.根據權利要求6所述的一種主機入侵檢測系統，其特征在于：監視的行為對象包括：

1)注冊表鍵、值；

2)文件和目錄；

3)危險系統管理行為；

4)值得注意的sql?server數據庫操作；

5)值得注意的IIS行為；

6)不合常規的網絡訪問。