近年来,基于人工免疫原理的网络入侵检测技术已逐渐成为计算机安全领域的研究热点。由于生物免疫系统具有分布性、自组织、轻量性和多层次性等特点,这些特点正是传统的入侵检测系统所不具备的,如果能将生物免疫系统的原理和工作方式恰当地运用到网络入侵检测技术中,将能够克服传统入侵检测系统的高误报率、高漏报率、灵活性和移植性较差以及不能检测未知攻击等缺点。本文通过深入研究生物免疫原理中蕴含的各种信息处理机制,在前人研究成果的基础上,结合传统否定选择算法和危险理论提出一种基于人工免疫理论的新型主机入侵检测模型。本文把检测器动态更新机制引入v-detector否定选择算法,并且把改进的v-detector否定选择算法,即DVA(Dynamic V-detector Algorithm)应用于入侵检测。对于高维数据,尤其是当训练样本不完备时,DVA比原始v-detector否定选择算法具有更好的适应性和鲁棒性。通常DVA比原始算法的具有更高的检测率,更低的误检率和更好的稳定性。通过针对KDDCUP1999数据的实验仿真结果,可以看到DVA的检测性能优于原始的v-detector否定选择算法。为了克服传统基于人工免疫理论入侵检测系统误检率过高的问题,本文将把危险理论的思想与传统否定选择算法相结合,构建一种新的主机入侵检测模型。该模型使用信号数据的检测结果先确定一个危险区域,只有危险区域内的异常抗原数据才会引起报警。其中,判断行为异常的抗原数据采用进程的系统调用序列,确定危险区域的信号数据采用进程运行是所占用的系统资源。为了得到系统测试所需的数据,我们针对RPC守护进程,采集了成对的信号数据和抗原数据。最后,我将提出的理论模型实现为一个入侵检测系统,系统将采用客户端/服务端结构。由于SCTP协议具有系统所需的多宿主和多流的特性,本系统客户端与服务端通信采用SCTP协议。客户端主要负责检测数据的整理和发送,服务端主要负责数据的接受和检测。服务端包括:客户端连接请求响应模块,数据接收模块,信号数据检测模块和抗原数据检测模块。本文的工作得到了国家自然科学基金(No.60703107)和国家863高技术研究发展计划(No.2006AA01Z107)的资助。