随着Internet的飞速发展,信息系统广泛采用了Web架构。由于Internet的开放特性,Web应用系统处于开放环境中,容易受到来自Internet的恶意攻击。入侵检测是一种保障Web应用系统安全的有效手段。现有入侵检测系统存在如下问题:(1)在提供开放Internet服务的Web应用系统中,用户活动受约束少,不确定性强,用户行为模式复杂。传统入侵检测系统对不同行为模式的检测性能各异,导致在开放环境中入侵误报率居高不下。(2)处于Internet环境中的用户活动易受社会和网络环境影响,从而导致用户行为模式不准确。传统入侵检测系统很少考虑外部环境干扰,一旦应用到Internet环境中,其检测性能往往无法令人满意。(3)Internet环境中Web应用系统的用户数目与被保护资源数目巨大,导致入侵检测系统需处理海量日志数据。这样,入侵检测系统的运行效率将成为影响系统实施的瓶颈因素。针对上述问题,本文将信息可视化应用到入侵检测领域,提出可视化入侵检测的概念。本文重点研究如何将目标系统中用户活动等信息转换成安全专家与安全管理员易理解的可视信息,以利于安全专家和管理员更高效地与入侵检测系统协同工作,从而提高入侵检测系统的检测性能。本文首先分析了现有入侵检测系统在保护Internet环境中Web应用系统所面临的挑战及存在的问题,阐述了可视化入侵检测的重要性,提出了论文的研究目标,总结了国内外相关研究领域的工作,并分析了相关工作在Internet应用环境中的不足之处。针对这些不足之处,本文研究了可视化入侵检测的参考模型、框架及其算法,并对相关算法进行了理论分析与实验验证。本文的主要成果是:(1)改进了传统基于主成分分析的可视化入侵检测算法,提高了算法的效率,增强了对Internet环境下海量日志数据的处理能力。(2)引入曲线成分分析作为映射工具,提出了一种高逼真度的、确定性的可视化入侵检测算法,提高了对Internet环境中复杂行为模式的适应能力。(3)以密度场模型替代散乱点模型,提出了基于密度场的可视化入侵检测算法,可针对海量日志数据提供直观、丰富的行为模式信息。以上研究工作为提高入侵检测性能提供了一种新的途径。