该文主要创新工作如下：1、扩展攻击树模型、提出攻击树生成算法——ATG算法，进而给出攻击模式自动生成方法.攻击模型是决定IDS检测率和误报率的重要因素.为获得合理有效的攻击模型，该文将攻击模型化理论用于IDS攻击模型的建立，从面向检测、添加时序关系、给结点添加属性等几个方面进行扩展，扩展攻击树模型，目的是使攻击模型能够准确、全面地描述攻击，并能够重用、共享.进而提出攻击树生成算法，使得模型可以自动产生.为验证模型和算法的有效性，分别以KDD-99数据和攻击模拟平台收集的数据进行实验，实验结果表明，模型和算法是有效的，此外，模型还具有可重用、自动生成等优点.2、提出基于多源数据的攻击树模型，及相应的攻击树生成算法——MATG算法.在一对一攻击基础上，进一步研究多对一、多对多等复杂、多层次的攻击类型，将攻击模型化理论与信息融合技术相结合，进一步提出基于多源数据的攻击树模型，以描述复杂、多层次攻击.综合考虑来自攻击不同拓扑结点、不同类型的数据源，更为准确、全面地反映多层次、复杂攻击的特征，提高检测能力以及检测精度.提出的模型生成算法能自动生成基于多源数据的攻击树模型.模型及算法均经过实验验证，与单源数据检测相比，多源攻击树模型在检测率和检测精确度方面具有明显优势.3、提出一种面向检测的攻击分类方法——DetectClass方法、基于该方法的攻击树模型分类建立算法及分类检测机制.对攻击进行合理分类，研究不同类别之间的关系，并将DetectClass攻击分类方法与攻击树模型有机结合，提出基于DetectClass方法的攻击树生成算法，便于模型的分类建立，并构造分类检测机制.目的是提高检测的覆盖率、响应时间和精度.其中，对DetectClass方法进行形式化的描述与证明.4、提出子树组合生成新树算法和正常行为模型训练框架，以改善IDS异常检测能力.异常检测一直是IDS的难点.其关键是要建立合理有效的正常行为模型，该文认为，自适应性和可扩展性是异常检测能力的重要属性.该文提出子树组合生成新树算法，从已有的攻击树模型中，提取新的、合理的攻击模型，从而增强异常检测能力.另外，提出正常行为模型训练框架，可以在具体的应用环境中，自适应地建立正常行为模型，以提高模型的精确性和针对性，并具有可扩展性.最后，将该文所提出的模型、算法和方法集成，设计实现原型系统ATNIDS（Network Intrusion Detection System based on Attack Tree Model），该系统作为可扩展入侵检测系统框架的一部分.该系统主要包括攻击模拟平台、攻击模式自动生成模块、正常行为训练模块、分布式Sensor子系统、中心控制分析模块五个部分.