随着计算机网络的结构日趋复杂、规模快速增长,非法入侵不断增多。传统的被动安全防御技术已明显不能满足需要。入侵检测技术作为新一代的安全防御措施,构建了主动的信息安全保障,有效地弥补了传统安全防御技术的不足。协议分析技术充分利用网络协议探测攻击的存在,大大减少检测过程的计算量,并提高了检测的准确率。但协议分析是基于误用的入侵检测技术,无法检测未知攻击。人工免疫系统保护机体免受各种侵害的机理与入侵检测系统有着天然的相似之处,而它所具有的自适应性、健壮性、分布性等特性正是计算机安全系统所不具有的。因此,基于免疫原理的入侵检测技术研究正成为近几年入侵检测领域研究的热点。本文将免疫原理与协议分析技术相结合,提出了一种改进的基于协议分析和免疫原理的入侵检测模型,详细设计了数据捕获模块、协议分析模块、检测模块和响应模块。在检测器生成方面,提出了一种改进的否定选择算法,可以消除相互匹配的检测器存在,同时提高未知入侵的检测能力。对免疫算法中抗体的组成结构进行了改进,除了网络数据的基本特征之外,还考虑了基于时间的统计型特征,以便更好地反映攻击数据包之间的内在联系。在检测器编码方面,考虑到正常行为与异常行为之间界限的模糊性,提出了利用模糊概念的编码方案,极大程度的缩小了检测器编码的长度。选用DARPA 1999入侵检测评估计划提供的数据集进行仿真实验。其中,选取第一周的数据集为训练数据,通过训练生成一定数目的成熟检测器;选取第五周的数据用作测试数据,其中包括若干探测攻击和拒绝服务攻击。实验结果表明:本文所提模型和方法在低误报率的前提下具有良好的检测率。