由于网络攻击日新月异、种类繁多,给入侵检测系统的全面管理带来困难.误报率和漏报率高是当前IDS存在的主要问题,另外IDS几乎不能检测到未知的攻击.这是因为没有有效的方法用于描述攻击模式.在Windows操作统的应用越来越广泛的今天,针对Windows的攻击方法也变得越来越多.在前人对网络攻击方法分类研究的基础上,该文提出一种面向入侵检测的网络攻击分类方法,该分类方法选用了网络攻击方法的攻击结果(AttackResult)与攻击机理(AttackMechanism)两个属性作为分类标准,简称为R-M分类模型.在文中详述了R-M分类模型的属性、分类原则及Windows环境下的常见攻击方法的分类类别.在R-M分类模型分类结果的基础上,我们开发了一套入侵检测系统.该系统利用了网络攻击方法在R-M分类时所得到的攻击特征、攻击结果和攻击机理进行检测.最后的实验结果表明该系统在一定程度上比现有的一些入侵检测系统有较低的误报率和漏报率,特别是她可以检测未知的攻击.