本文以提高入侵检测系统数据处理性能和检测效率的同时尽可能降低系统误报率和漏报率为目的,着重对高效网络入侵检测技术与算法进行深入研究.主要研究内容包括以下几个方面:提出了一种适用于高速网络入侵检测系统的用户级报文传输机制-ULMM(User-Level Messaging Mechanism).在ULMM中,通过在应用进程空间静态分配并锁定缓冲区的方式来消除内存页面动态分配/释放和加锁/解锁操作所带来的开销.通过高效的地址转换技术和特殊设计的缓冲区管理机制来实现用户缓冲区和网络接口之间网络报文真正的零拷贝传输.为了与ULMM相配合,提出了一种基于用户层的多规则报文过滤机制-ULPF(User-Level Packet Filter).在ULPF中,使用一种基于有限状态自动机的方法来构造多规则包过滤器模型,从而能够在对数据包的一次扫描过程中发现与其符合的过滤规则.在ULMM和ULPF的基础上,提出了一种可扩展的高效网络捕包平台结构模型.在对基于模式匹配的入侵检测系统(snort)性能剖析的基础上,提出并实现了一种基于规则匹配的改进入侵检测模型-RIDM(Rule-based Intrusion Detection Model).在RIDM中,采用了高效协议分析技术和高速模式匹配算法相结合的方案.在对传统的归纳推理算法研究的基础上,将基于规则学习的推理算法应用到入侵检测建模中.改进并提出了两种基于规则学习的入侵检测算法.针对较小样本的入侵检测审计训练数据,采用改进的Boosting方法来增强规则学习算法以消除过学习现象,提出了增强的入侵检测规则学习算法-BNIDRLA(Boosting Network Intrusion Detection Rule Learning Algorithm);针对噪声多、规模大的入侵检测审计数据,在保证检测精度的同时,为了提高算法的学习和检测效率,提出了改进的高效入侵检测规则学习算法-FNIDRLA(Fast Network Intrusion Detection Rule Learning Algorithm),并由此构建了基于归纳推理的入侵检测模型.在对支持向量机理论深入研究的基础上,针对入侵检测训练数据集规模较大时,支持向量机算法的计算复杂度高的情况,提出了基于VQ-SVM的入侵检测算法.该算法利用矢量量化技术实现训练样本集的缩减,生成训练码书;在此基础上,用改进的SMO算法训练支持向量机,从而在泛化性能不降低的同时极大地提高了传统SVM算法的检测效率.针对在实际应用中入侵检测训练数据常常是未标定的情况,研究利用one-class SVM算法建立了无监督的异常检测模型并与其他无监督检测算法进行了比较.提出并实现了一种基于多关系警报信息融合的层次协作式高效网络入侵检测系统DENIDS(Distributed Efficient Network Intrusion Detection System).DENIDS结合了层次式IDS和协作式IDS的优点,能够适应大规模、大流量以及多管理域的网络中入侵检测的要求.探讨了系统实现过程中的一些关键问题,并在实际环境中对系统的实时处理性能进行了测试.