基于人工免疫的入侵检测技术是近年来入侵检测研究领域的热点,它的突出特点是利用生物免疫系统特征、规则与机制实现对入侵行为的检测和反应。入侵检测系统与免疫系统具有本质的相似性:免疫系统负责识别生物体的“自我”与“非我”并清除有害细胞;入侵检测系统则区分正常与异常行为模式,对入侵行为采取措施加以阻止。本文围绕基于免疫原理的否定选择算法在入侵检测领域的应用展开深入研究。基于否定选择算法的入侵检测与其他入侵检测技术相比虽然具备诸多优越性,但也有其自身的缺陷:其一是系统中“自我”的描述为静态方式,一旦定义后就不再变化,然而入侵检测技术实际应用中“自我”一方面难以准确定义,另一方面它与“非我”之间经常角色互换,随着时间的推移需要及时地修正“自我”的描述模型,否则缺乏良好的适应能力,不能满足真实网络环境下安全监控的需求;其二是产生有效检测器的过程中,未成熟检测器和自体集合匹配工作量巨大,大规模的数据处理导致否定选择算法时空效率低下,难以快速发现入侵行为,严重阻碍这一技术在入侵检测中的实际应用。针对上述问题本文提出根据自体集合动态可变思想实现带有免疫二次应答的入侵检测算法——用规模较小的、易于程序处理的动态“自我”子集缩小原算法中庞大的自我集合。虽然动态自我集合在短时间内处理数据数量少、覆盖范围小,但可以保证数据被高速处理,并在相对较长的检测过程中覆盖整个“自我”空间。另外,使用数据结构Bloom Filter,改变基本否定选择算法中数据的存储、查询和修改方式,缩小数据处理规模、提高查询速度,使否定选择算法更快速地产生有效检测器,有效地增强该算法的实用性。对比实验证明,本文提出的改进否定选择算法与同类方法相比可以更快速地产生有效检测器并准确地检测出已知和未知模式的入侵行为。