入侵检测技术越来越成为信息安全系统中不可缺少的技术。入侵检测技术的研究也是近些年信息安全研究领域的一个热点，但在审计数据的分类处理、模型的选择、入侵检测系统的评估等方面还没有一套相对成熟的数学理论。信息论在处理信源，信道方面已经有了成熟的理论和方法，有些信息论的方法可以借鉴并用于描述审计数据的规律性，指导检测模型的建立和评估检测效果。本文将借鉴信息论在处理相关问题时的方法，基于信息论与入侵检测的结合点，改进并创新地用于计算机入侵检测模型的优化以及评估方面，主要研究内容如下：　　 1.针对高效的入侵检测技术审计数据特征提取、数据压缩及评估问题，通过对入侵检测收集的审计数据的分析，用信息熵对原始的数据集进行初步评估。然后，对数据集进行数据压缩，其中对训练模型的数据进行压缩处理应遵循数据处理不等式。最后，计算压缩后数据集的信息冗余度，对比评估经不同方法压缩的数据冗余度，选择较好的数据源。实验结果表明：原始数据进行的特征提取等处理次数越少，得到的处理后的数据丢失信息越少。对同一数据集用不同方法处理后，得到的新数据集的冗余度越大，则新数据集的实际信息熵越小，数据之间的依赖关系越强；冗余度越小.则检测传输效率越好，对比选择适中的冗余度有利于后期的入侵检测研究。　　 2.在入侵检测系统中如何基于给定的训练数据选择较好的异常检测模型？文中使用相对熵密度偏差作为模型之间差异的度量。通过分析模型的分布与训练数据真实分布的差异，根据原数据本身的相依关系，使用较少的数据选择出较好的适用的检测模型。实验结果证明：针对所给的数据，隐马氏模型要好于马氏链模型。　　 3.目前，入侵检测系统的漏报率和误报率高一直是困扰用户的主要问题，而入侵检测系统主要有误用型和异常型两种检测技术，根据这两种检测技术各自的优势，将两种检测技术结合起来的方案越来越多地应用于入侵检测系统。通过引入入侵检测能力度量函数，从理论上深刻解释了系统协作的必然性，提出了异常检测技术和误用检测技术相结合的入侵检测系统模型及其评估方法，减少了单独使用某种入侵检测技术时的误报率，从而提高系统的安全性。　　 4.针对多入侵检测系统可信度评估问题，研究对每个入侵检测系统关注度比例的分配策略，提出了系统整体可信度最优的求解模型。该模型揭示了可信度期望收益、偏差和相关系数的关系。管理员可以据此产生对整体安全态势的判断，并动态的反馈，调整网络中各个入侵检测设备，从而加强对有攻击意图的数据进行重点检测。