通过采集主机中三个不同层次的特征数据,利用SOM-PAK,训练出三个表示系统正常模式的MAP,并确定报警阈值的选取方法.在对运行入侵工具NMAP和HYDRA时的检测中,通过连续检测多组数据,显著提高了系统检测率.