随着计算机网络及技术的迅速发展,计算机入侵行为也逐年上升,这严重威胁了各种计算机系统的发展及应用。网络攻击方法层出不穷,入侵手段也不断更新,使得目前的防火墙等被动的网络安全机制对许多攻击难以检测。入侵检测技术作为一种主动防御技术,弥补了传统安全技术的不足,然而目前的研究还十分不够。本文对入侵检测研究现状进行了总结,对黑客攻击的方法和技术进行了归纳,对入侵检测的主要技术、方法、体系结构进行了深入的分析,提出了入侵检测技术面临的问题和研究发展趋势,并对入侵检测技术的几个关键理论和方法进行了研究及实验。本文的主要工作如下:1.采用一致逼近和付氏变换对审计信息进行分析,从结构性数据集合中提取特征的有效方法,该方法将空间变换、函数逼近方法和滤波相结合,首先通过空间变换将被观察的审计数据变换到另一个观察空间,然后采用函数一致性逼近的方法来拟合审计数据,最后采用滤波的方式提取重要的特征参数进行比较。2.从如何完善和改进网络入侵检测系统的检测规则方面着眼,说明了噪声环境下入侵行为的相似关系,建立了一个网络入侵检测系统的模糊规则学习模型。并以入侵检测系统原有检测特征为基础,创建了基于权重的模糊检测方法。同时提出了一个反馈误差学习算法,用于对模糊检测方法进行改进以求达到识别的最优。这种匹配模型可以应用于所有基于特征数值的入侵检测系统。3.提出一个免疫遗传模型来重新构造状态转移分析检测方法。在该模型中使用了由状态链和行为链组成的双链基因模式来表示系统的状态转移,并使用STAT系统的原有检测规则来构造初始的专家DNA疫苗库。该模型可以在大空间内分布式有效地进行入侵检测规则的搜索。4.基于静态Markov模型的入侵检测方法中不合理的假设影响了该模型的入侵检测效果。为此提出了窗口Markov模型,又在该模型的基础上引入了窗口模糊隶属度。借助本文的模型可以从系统正常运行情况下产生的事件中提取出一个简便的预测模型,能有效地检测出系统的异常运行状态。同静态Markov模型方法相比,用模糊窗口Markov模型可以一定程度上抵抗噪声数据的干扰,具有更好的异常检测性能。5.从目的节点出发,提出网络可抽象为一个有源的场,场源是目的节点,在某一节点上发送到目的节点的数据包频度(一定时间内的数据包总量)抽象为在此节点上场的散度。据此提出了防守联盟协议,用于完善空间性审计信息以提高入侵检测系统的性能,同时介绍了协议内容、数据格式和协议的基本服务原语;防守联盟协议包括目的节点和相邻节点间的防守联盟协议、以及目的节点和网管中心间的防守联盟协议,目的节点和相邻节点间的防守联盟协议阐述了存在于相邻节点的审计信息如何获取并发送至目的节点,目的节点和网管中心间的防守联盟协议阐述了利用网管中心如何认证连接的真实性以完善空间性审计信息,并分析了二者的关系;简单分析了防守联盟协议的自身安全性。