当前，计算机安全已经成为一个全球性难题，它对政治、经济、社会生活带来了广泛影响。网络入侵检测系统(NetworkIntrusionDetectionSystem,NIDS)作为保障计算机安全的重要技术手段和措施，越来越受产业界和学术界的重视。研究NIDS，其重点和难点就是：一是如何完成大规模的数据采集和处理；二是如何降低对已知攻击的误报率和漏报率、如何降低对未知新攻击的误报率和漏报率。 本文围绕这两个问题，对NIDS中的各种智能算法进行研究和探讨，并逐步加以改进和改善。主要工作和研究成果如下： (1)分析IDS、NIDS基本概念，相关技术、方法和分类；讨论NIDS算法方面的研究热点、难题和新进展；根据当前NIDS算法研究中存在的问题，提出本文的研究思路和主要研究内容。 (2)针对现有检测算法比较和评估只考虑检测正确率的问题，将时间和空间开销引入算法比较，分别基于在线数据及标准数据集设计了NIDS检测算法比较方法和评估方法，并证明了当测试次数趋于无穷时，入侵检测比较算法结果属于正态分布，且给出了置信区间表达式。 (3)为了使被检测数据尽可能保持时间序列特征，分别为在线数据和标准数据设计了最佳时间窗大小选择算法和进行检测的最佳分割算法。 (4)针对NIDS处理很大数据量的问题，采用基于粗糙集理论的属性简约方法对NIDS数据进行属性简约，并且对软件包ROSETTA进行改进，建立了特征提取算法。 (5)针对(4)中没有考虑对实际数据进行评估，还有降维空间的问题，采用遗传算法来完成特征选择；同时考虑到NIDS中特征的实际相关性，引入免疫中相似性度量的方法来描述这种关系，以实现冲散解，避免遗传算法局部极小的问题；利用基因编码模式中，一些特殊效应来指导遗传算法，例如上位效应，来改进遗传算法；考虑到遗传算法是全局搜索算法，利用混合算法的互补性，尝试利用遗传算法(全局搜索算法)+邻域搜索算法(局部搜索算法)来完成特征选择；同时考虑到邻域定义的不确定性，设计具有更高灵活性的遗传算法(全局搜索算法)+变邻域搜索算法(局部搜索算法)来完成特征选择，实现了输入数据的再次降维。经过实例测试，上述算法的逐步改进效果明显。 (6)针对基于规则的分类器进行NIDS入侵检测时，检测时间过长，对未知新的入侵模式的检测效果较差，不好控制和提高检测率的问题，本文采用基于小样本进行分析的支持向量机(SupportVectorMachine,SVM)算法进行分类器设计；针对常用的几种核函数的互补性特点，根据核函数的构建条件，构建混合核以提高分类器的训练和分类精度；针对基于混合核SVM的分类器参数多，关系复杂，而且无好的调节准则和算法的问题，提出将遗传算法引入到基于混合核SVM参数的寻优问题中，取得较好的效果。 (7)针对基于规则和SVM的分类器进行NIDS入侵检测，对全新的未知入侵模式的检测效果较差的问题，设计了基于聚类的孤立点算法并进行了改进，避免基于规则和SVM的分类器算法对异常模式过度拟合而泛化能力差的情况，但是这里也可能会增加虚警。 (8)将隐马尔可夫模型(HiddenMarkovModel,HMM)引入到NIDS中检测正常-异常模式异常，提出了正常-异常模式异常定义的紧急级别的新概念。针对直接对检测数据进行HMM训练和检测，计算量很大的问题，提出了采用先聚类降低状态维数，然后采用HMM的方法进行NIDS检测的方法，效果显著。 (9)设计和实现了NIDS测试系统。