入侵检测技术是网络安全防御体系的关键技术之一,它通过收集网络和主机上的相关信息,根据制定的安全策略对信息进行分析和检测,并对检测到的入侵事件发出警报并进行防范处理。目前入侵检测算法都存在误报率高和检测率低的问题,造成该问题的原因一方面在于入侵攻击的类型不断发生变化,同时入侵具有随机和不确定性的特点;另一方面由于无法准确的定义、刻画和建立正常模型,导致算法不能有效地识别入侵攻击。云理论是一种实现定量数据与定性概念自然转换的理论,利用云理论的相关原理可以对一类数据进行操作生成反映该类数据特征的云,而云仅仅需要期望、熵和超熵三个数字特征就可以表示,极大的简化了数据特征的表达方式,提高了数据处理的效率,近年来已有研究者将云理论应用到入侵检测技术中进行一些有意义的尝试工作。本文在系统地研究入侵检测、云理论的基本原理以及相关技术基础上,提出基于云理论的异常检测算法。主要工作包括:1、深入研究云理论中正、逆向云发生器原理和特点,将其应用于入侵检测模块和正常数据建模中,提出了一种基于云理论的异常检测算法,以实现快速精确地对异常数据检测。算法通过MIT实验室的KDD CUP’99数据集测试,结果表明算法检测率平均达到98.66%,误报率平均仅有1.87%,说明算法在一定程度上解决了检测率低、误报率高的问题,可以有效的检测网络异常数据。2、特征选择方法的选取对于提高入侵检测算法的检测效果具有非常重要的作用。针对特征选择方法中的互信息法存在分类精度不高、不能处理连续数据等缺点,本文结合熵值法提出一种基于熵和互信息的特征选择算法(EMI)。与均方差法、熵值法和卡方值法等特征选择算法进行实验对比分析,实验表明在相同测试数据下EMI算法不仅选择的特征个数最少、错误判断样本总数最少,而且误报率较低、检测率最高,同时也解决了互信息算法不能处理连续数据的问题。