传统的入侵检测系统(IDS)存在着大量的问题:对未知网络攻击检测能力差、误报率高、占用资源多;对攻击数据的关联和分析功能不足,导致过多的人工参与;对于现在广泛使用的脚本攻击防御能力差等。为了在现代高带宽、大规模网络环境下提高入侵检测的效率、降低漏报率和误报率,把智能学习的方法引入到IDS中已成为IDS的重要发展方向。软计算技术主要的包括模糊逻辑(Fuzzy logic,FL)、神经计算(Neural Computing,NC)、进化计算(Evolutionary Computing,EC)和基于概率推理的计算(Probabilistic Computing,PC)。软计算技术方面,神经网络用于入侵检测的研究较多,多层感知机MLP以及多层BP神经网络模型和自组织映射网络SOM,都在入侵检测应用中取得了良好的实验效果。遗传模糊规则挖掘入侵检测的工作的主要研究内容为规则编码,适应度函数评价,遗传算子设计等。人工免疫入侵检测工作的主要研究内容为抗体编码,适应度函数评价,“非我”空间覆盖程度衡量等。但是负选择和遗传过程的基本框架未变。本论文主要考察结合模糊系统,进化系统(人工免疫系统)和神经网络系统的混合软计算技术对入侵检测系统性能的提高。论文的贡献有四点,(1)用层次自组织映射(SOM)系统提高了U2R攻击的检测率;(2)提出遗传算法优化SOM权值的方法,并用该方法提高了新攻击的检测率;(3)提出层次SOM和人工免疫系统相结合的混合系统,该系统提高了新攻击检测率,同时获得较低误报率;(4)对比了传统支持向量机和基于决策树的混合支持向量机入侵检测系统的性能。论文首先用层次SOM提高了U2R攻击的检测率。单层的SOM网络用于异常检测时,五种类别的样本(DOS,Probe,u2r,r2l和normal),存在“交叉”现象,这是导致不同攻击类型的检测率不平衡的主要原因。在层次SOM中,层次的增加使U2R和NORMAL样本“分离”,从而提高了U2R的检测率。但是normal和r2l样本相似度较高,只有通过主机方法的辅助才能检测。其次,论文开展了遗传自组织映射(SOM)网络入侵检测的研究。在SOM网络入侵检测的已有工作中,大多数用SOM网络进行入侵检测数据的聚类,且关于学习率,网络结构以及学习算法的讨论较多。遗传算法作为一种全局搜索方法,可有效避免启发式算法陷入局部极小点的问题,因此考虑把SOM和遗传算法相结合,即用遗传算法来寻找SOM网络的最优连接权矢量初始值。论文的主要工作是:(1)研究了遗传算法与自组织映射网络结合的途径,仔细设计了针对入侵检测应用特点的染色体编码,种群初始化,变异、交叉等遗传算子以及适应度函数;(2)分析了遗传自组织映射网络算法的时间耗费和稳定性问题;(3)研究了遗传算子求解最优连接权矢量的情形。(4)用遗传SOM提高了新攻击的检测率。提高检测未知攻击(自适应)能力是入侵检测的重要研究方向。人工免疫入侵检测系统的特点是对新攻击的检测能力强。但是人工免疫入侵检测系统的缺点是训练时间长,随机覆盖“非我”空间,因此单一的人工免疫方法需要和其它智能方法相结合(混合系统),才能更好地提高检测效率。论文提出一种混合软计算入侵检测方法,分为两个阶段:第一阶段是用层次自组织映射网络(SOM)快速学习和检测已知攻击。第二阶段,用人工免疫系统找到的“异已”空间对层次SOM的判定结果进行二次过滤,增强新攻击的检测率。论文首次将模糊逻辑引入人工免疫抗体编码和适应度评估方式,同时用本地搜索加快搜索速度和精度。实验证明不管是已知攻击还是未知攻击,混合系统的检测率均优于单一的人工免疫,模糊规则挖掘和层次SOM机制的系统。最后,论文研究了混合型支持向量机在入侵检测中的应用。支持向量机(SVM)在入侵检测中的应用已得到广泛研究,但是多类SVM存在“不可分区域”问题,影响检测效率。基于决策树的多类SVM可以解决这个问题,但是,关于树SVM在入侵检测中的应用研究很少。论文的贡献在于:(1)将多种多类SVM和两类SVM在检测率、时间耗费和稳定性等各方面作了比较;(2)研究了基于决策树的多类SVM在入侵检测中的应用,并分析了基于决策树的SVM在入侵检测中构造的分类超平面与攻击类型;(3)采用支持向量约简法,以改进决策树中每个结点的训练过程,研究了“孤立”支持向量的分布情况;(4)测试了SVM方法对于新攻击的检测率,并分析了SVM检测未知攻击的能力及其原因。