计算机和网络技术的普及,在给人们的生活带来极大便利的同时,也将安全隐患传播到整个网络。正是由于网络的普及率越来越高,一旦发生有目的、大规模的网络入侵行为,其造成的影响就越恶劣。做为保护网络安全手段之一的入侵检测技术,一直被广大国内外学者所关注。由于网络规模的不断扩大,网络流量的不断增长和黑客技术的不断发展,对入侵检测的性能提出了更高的要求。本文以提高入侵检测技术的检测正确率,降低误警率和漏警率以及提高检测效率为技术目标,在检测技术、告警融合和分布式入侵检测系统的体系结构等方面进行了深入系统的研究,取得了一些创新性的研究成果,主要内容包括:1.在二分类入侵检测技术方面,提出了两种入侵检测技术。1)提出了基于条件熵遗传算法和支持向量机的入侵检测技术。根据入侵检测的特殊性,提出了条件熵遗传算法用于特征抽取,设计了新的遗传个体、适应度函数和自适应交叉变异概率。同时将基于条件熵遗传算法的特征抽取和支持向量机的分类模型进行联合优化。对提出的条件熵遗传算法的收敛性进行了理论分析。该入侵检测技术可以保证对不同攻击类型的入侵具有较高的分类准确率和检测效率。2)提出了基于核Fisher鉴别分析和支持向量机的入侵检测技术。将核Fisher鉴别分析用于入侵特征的抽取,并结合支持向量机进行分类。同时根据入侵检测样本数据高维、异构、小样本的特性,提出了基于异构距离度量的混合核函数。经过核Fisher鉴别分析抽取后的入侵特征非常适合于分类,因此能减少误警率和漏警率,同时大大降低训练时延,提高检测效率。2.在多分类入侵检测技术方面,提出了两种入侵检测技术。提出了基于核Fisher鉴别分析和多分类支持向量机的入侵检测技术。利用经过核Fisher鉴别分析后的训练数据不同类别样本的类中心距离构造优化的二叉树结构,从而扩展二分类支持向量机,实现多分类入侵检测。同时在构造二叉树的各个二分类支持向量机时,首先使用核Fisher鉴别分析进行特征抽取,然后在投影后的数据集上建立分类模型,提高各个二分类支持向量机的检测精度。由于构造了合理的二叉树结构,避免了误差累积效应带来的负面影响,同时提高了各个分类器的检测性能,因此能够显著提高多分类的检测正确率,尤其是对于较难检测的U2R和R2L攻击取得了较好的检测效果,提高了检测效率。提出了基于核Fisher鉴别分析和聚类的多分类支持向量机检测技术。结合入侵检测攻击样本和正常样本以及各种类型的攻击样本之间的边界不清晰的特点,引入模糊逻辑,将训练数据映射到核Fisher鉴别分析特征空间后,使用模糊聚类对投影后的数据进行分析,根据模糊隶属度矩阵提供的信息构造优化的二叉树结构,实现多分类。由于模糊逻辑的引入,可以更准确地表达入侵数据之间的关系,因此进一步提高了分类正确率,降低了误警率和漏警率。3.在告警融合方面,针对入侵检测系统产生的告警数量大,且大部分告警是冗余告警的情况,提出了基于乘性递增线性递减的动态窗口报警聚集算法,能够有效合成告警数据,去除重复告警,减少告警洪流的出现。针对目前大部分的攻击都是复合攻击,且入侵检测技术不可避免的漏警和误警现象,提出了基于证据理论和目标图模型的告警关联算法。根据网络攻防领域的特点,构建了网络攻防模型,在此基础上搭建入侵规划目标图模型。在进行入侵规划的识别时,首先使用证据理论对不同入侵检测系统产生的告警进行融合,确定待扩展的动作节点,扩展目标图,进而得到攻击规划,从而实现对复合攻击的有效识别。4.在分布式入侵检测系统的架构方面,提出了智能网格入侵检测系统。将入侵检测系统部署于网格环境中,不仅能够天然地继承网格分布式的优点,同时结合网格的特点,提出了检测技术也是一种资源的概念,而且这种资源是可以自适应于不同的网络环境的,从而提高网格入侵检测系统的扩展性和自适应能力。为了实现整个分布式系统的负载平衡,提出了基于资源可用度的调度算法。该智能网格入侵检测系统能够合理地利用检测资源,同时具有良好的可扩展性,在网络流量大的情况下仍然具有良好的检测性能。通过以上四个方面的研究,本论文为提高入侵检测系统的性能提供了一套比较完整的解决方法。