入侵检测系统(IDS)的主要目标是检测计算机系统内部或外部入侵者的非授权使用、误用和滥用。IDS独特的作用使它在网络安全体系中占有不可替代的地位。生物免疫系统与入侵检测系统有着许多相似之处，这些相似性使免疫系统为入侵检测系统提供了一个自然的研究模板。特别是免疫系统在信息处理中表现出的分布式保护、多样性、自适应性、健壮性、记忆能力、容错能力、动态稳定性等良好特性，正是当前入侵检测领域中所期望得到的，以克服当前IDS所面临的问题。在传统方法还不能解决网络安全问题之时，借鉴生物免疫系统的免疫原理进行入侵检测技术研究已引起计算机安全研究人员的高度重视，目前这方面的研究已成为一个热门方向。 本论文在研究生物免疫机制的基础上，为提高入侵检测系统自学习、自适应技术，在以下方面作了一些有创造性的研究与探索： (1)基于抗原／抗体多样性，提出“特征元素—特征因子—特征基—特征”的多层次、多特征融合的特征表述方法。该方法具有多样性。一组特征因子，通过不同的组合，可产生多样的特征基。一组特征基，通过不同的组合，可表征不同入侵行为的特征；该方法具有开放性。新的特征基可能是已有特征因子的新组合，实际可识别空间取决于特征因子的可组合数，这个数目远远大于现有的特征基数。 (2)基于抗体基本功能及结构特点，设计了融检测与自动响应于一体的检测器。检测器由检测特征基、攻击标识和效应函数指针三者构成。检测特征基，形式上与入侵特征基一致，因此也具有开放性和多样性。检测特征基的多样性，决定了检测器的多样性，是检测器可进化的基础。攻击标识是对入侵特征基识别后的分类结果。效应函数指针链接响应措施，特别是主动响应措施，一方面提高系统的防御能力，另一方面为检测器进化提供必要的时间。 (3)基于免疫danger theory，提出以危险信号作为攻击检测协同作用的思想。本文以被保护对象发出的可测的极小受损迹象作为“危险信号”，以此作为攻击检测的协同作用信号。旨在通过该协同检测，提高对未知攻击的检测能力、克服由于“正常”与“异常”界线模糊引起的误报与漏报、引导检测器进化，从而提高IDS的自适应能力。 (4)基于粗糙集理论，实现了对危险信号的测定。本文主要以易测量且又能直接反映系统工作状态，与系统可用资源相关的参数及受保护对象属性等为危险信号来源。在多个危险因子共同作用时，基于粗糙集理论，用各个危险因子对危险决策的重要性确定各自的权值，危险信号值是各危险因子的加权和。