人工免疫系统是基于免疫系统机制和理论免疫学而发展的各种人工范例的统称。人工免疫系统的一些模型和算法在实际应用中显示了优良的信息处理能力和独特的问题求解方法。尽管人工免疫系统在入侵检测方面取得了一些可喜的成果,但是目前尚有一些未能很好解决的问题。一方面,研究工作未能紧贴入侵检测的实际需求;另外,人工免疫系统本身还存在一些不足之处,有待改进。同时,出现的一些新型网络也对基于人工免疫系统的入侵检测技术提出了新的挑战。本文围绕人工免疫系统领域的研究热点,针对现有人工免疫系统算法的不足,进行相关的改进和提高,并研究新型的人工免疫系统。重点研究适合入侵检测的人工免疫算法和系统,并从运行效率、检测性能等方面对新算法和新系统进行分析和评价。研究目标是使得相关的人工免疫系统能够满足传统网络和新型网络入侵检测的实际需求,为保障网络安全和网络正常运行提供实用、准确、高效、低开销的入侵检测技术。论文主要研究工作及成果如下:(1)否定选择算法(NSA)研究。首先归纳总结了单类分类器的性能评价方法,为单类分类器的研究和性能比较提供了统一客观的指标。利用各种性能评价指标对包括NSA在内的主流单类分类器进行了性能测试和比较。其次,对提高NSA检测器覆盖非我空间的能力进行了研究,分别对字符串表示和实数表示的NSA进行了改进。将V-detector中可变检测器的思想引入字符串表示的NSA,提出了一种基于可变r连续位匹配规则的NSA,即VrNSA,实验结果表明改进后算法运行效率显著提高。在实数表示的NSA中,对V-detector检测器描述进行了改进,提出了一种不限定检测器中心点位置的NSA。改进后检测器覆盖问题域边缘的能力增强,覆盖率更高。在入侵检测基准数据集上的实验结果表明,改进后算法检测性能显著提高。(2)适合数据流异常检测的树突状细胞算法(DCA)研究。首先提出了基于DCA的数据融合模型,即DCADF模型。从系统结构和功能以及系统特性等方面将DCADF模型与数据融合系统一般模型进行比较。分析了DCADF模型的特征,指出了DCADF模型的特性以及可能的使用场景。通过具体的仿真实验对模型进行验证,结果表明DCADF模型具有可行性,为数据融合研究提供了一种新的方法和思路。然后模仿人体免疫系统对树突状细胞生命周期的控制,结合免疫学的最新研究成果,对DCA进行改进,提出了实时树突状细胞算法(rtDCA)。rtDCA能执行在线分析,输出动态异常指标。对rtDCA进行了实验测试,通过小规模数据集研究了算法特性,在此基础上通过大规模数据集测试了算法检测性能。实验表明,rtDCA具备实时算法的运行模式和良好的检测结果,可以在基于数据流的实时入侵检测中开展应用。最后提出基于rtDCA的拒绝服务攻击检测技术,通过大规模合成数据集评估了检测性能,实验结果显示了高检测率和低误报率。(3)基于人工免疫系统的误用检测异常检测集成研究。提出结合不同人工免疫系统算法来构建集成人工免疫系统。首先对危险模型进行了分析,指出否定选择和危险模型两者之间并不矛盾。在危险模型中,否定选择机制和危险性判别机制在不同的位置发挥各自的作用,两者都是一个整体系统中的必要组成机制。然后基于这种新的认知,结合NSA和rtDCA构建了一个入侵检测系统。NSA用于检测结构特征,rtDCA用于检测行为特征。最后通过入侵检测基准数据集对系统进行验证,并与其他方法进行了比较。实验表明,集成人工免疫系统能够基于数据流进行入侵检测,不但具有高检测性能,而且能检测未知入侵。(4)面向新型网络入侵检测的统一人工免疫系统探讨。根据新型网络入侵检测的需求,提出结合单独的人工免疫系统算法来建立整体的人工免疫系统,即统一人工免疫系统。首先提出通过跨学科合作的研究方法来开展统一人工免疫系统研究。然后讨论了建立统一人工免疫系统可能存在的问题,提出了相应的对策。最后通过着眼高层特性和融合各种免疫机制,提出了一种统一人工免疫系统原型。与其他人工免疫系统相比,统一人工免疫系统具有两个主要特点:第一,统一人工免疫系统不再关注单独的人工免疫系统算法,而是在人体免疫系统的启发下,提出建立一个整体的系统结构;第二,统一人工免疫系统是一个开放的适应性的结构,可以不断学习和进化。统一人工免疫系统可用于保障新型网络的正常运转,实现高效的部署灵活的安全保护系统。