入侵检测系统在保障网络系统安全中起着关键作用。本文在深入分析了当前入侵检测技术研究状况的基础上，提出并建立了一个完整的基于免疫机理的入侵检测系统。该系统利用了自然免疫机理的许多优点如多层次、多样性、独特性、动态防护性、自适应性、联想记忆等，提高了系统的检测性能，增加了系统的健壮性、自适应性和动态防护性。首先提出了基于免疫机理的入侵检测系统的总体设计方案，从理论上证明了根据该方案建立的系统具有比传统的单层防护的入侵检测系统更好的检测性能以及具有健壮性、自适应性和动态防护性等优点，并基于自然免疫系统的多层次、多样性机理提出了基于免疫机理的入侵检测系统的多子系统、多代理、多组件的体系架构。基于免疫机理的入侵检测系统包括四个子系统即：基于免疫机理的主机入侵检测子系统、基于免疫机理的网络入侵检测子系统、基于免疫机理的网络节点入侵检测子系统和控制台。在基于免疫机理的主机入侵检测子系统中类比自然免疫系统的多样性机理，提出了包括完整性代理、可用性代理、保密性代理和系统调用代理的多代理结构，使得子系统具有良好的灵活性和健壮性。重点提出了基于隐马尔可夫模型的系统调用异常检测方法，该方法使得正常轮廓库具有比同类方法更简洁、更稳定的优点，特别是在训练数据不完整的情况下也能得到较完备的正常轮廓，从而能够改善系统的检测性能。我们在现有的工具Install Watch Pro,WINDOWS 2000的性能日志和警报工具以及EventCombMT工具的基础上实现了完整性、可用性和保密性代理，提出了类似自然免疫系统的T协助淋巴细胞的工作机理的一种新型协同信号机制，利用所建立的检测代理给其它子系统提供协同信号。在基于免疫机理的网络入侵检测子系统中提出了包括数据收集、包头解析和特征提取组件、抗体生成与检测组件、协同和报告组件、规则优化组件的多层次结构。在包头解析和特征提取组件中根据扫描攻击和拒绝服务攻击的特点新定义了基于连接的统计特征。在抗体生成与检测组件类比自然免疫系统自适应免疫的两种免疫类型即被动免疫和自动免疫提出了被动免疫抗体（PAb）和自动免疫抗体（AAb）的概念，并重点提出了记忆自动免疫抗体（MANAb）和模糊自动免疫抗体（FANAb）的实现方法。在协同和报告组件中根据T协同淋巴细胞的工作机理提出了新型的协同信号机制以减少虚警，并增加检测系统对正常变化的自适应能力。在规则优化组件中基于克隆选择原理引入了规则适应度的概念并提出了记忆规则优化的算法，从而使规则库中的规则能够根据当前的入侵自适应调节并维护相对小的规则库。最后通过两个实验证明该子系统具有较高的检测新型攻击的能力和<WP=5>较低的虚警。在基于免疫机理的网络节点入侵检测子系统中提出了阴性抗体和阳性抗体的概念和具体实现方法，利用协议分析技术和多代理技术使得该子系统能够检测基于应用层的攻击，并避免各种入侵检测逃避技术，同时还具有良好的灵活性和健壮性。