网络入侵检测系统（NIDS）是一种重要的安全检测工具，检测精度是影响其实用性的重要因素。论文研究了以下三种有助于提高滥用NIDS检测精度的方法：为NIDS引入检测规则自动更新和预处理机制；加强NIDS面向会话流的检测能力；对原始警报进行冗余消除和警报关联等后处理，从而提高滥用NIDS的检测精度，增强其警报事件的可信度。 检测规则是滥用入侵检测判定攻击的依据所在，直接关系到检测结果的准确性。论文首先分析了检测规则从哪几个方面影响检测精度，以此为基础设计了一种检测规则自动更新与预处理机制。规则自动更新机制保证了检测规则库的时效性；规则预处理机制则通过对规则进行去错去重、冲突检测、人工微调来剔除那些易于带来误报的规则。为了提高报文分类算法在大规模规则库下的可扩展性，论文在P-HiCuts报文分类算法的基础上通过采用每规则建树和TCP标志域离散化两种改进手段，使改进后的算法减少了平均75％左右的空间消耗，并降低了算法空间占用随规则数增长而增加的速度。 传统NIDS采用的是基于单报文的入侵检测手段。为了充分挖掘报文间的联系，论文研究了面向会话流的入侵检测方法。会话流检测可以分为基于在线法和基于缓存法两种，前者虽然空间消耗较少，但所提供的检测能力有限，不能适应日益复杂的检测要求，因此论文采用了基于缓存法的会话流重组算法。应用层协议语义抽取是会话流检测的重要功能，为了提高语义抽取的正确性和效率，论文设计了基于鉴别-抽取机制的语义抽取算法，在满足规则检测要求的基础上提高了抽取算法性能。论文讨论了TCP层次和应用层层次的会话流状态跟踪在抗无状态攻击、改进检测精度上的意义，并给出了相应的实现算法。随着入侵技术的进步，出现了多种变体攻击方法来逃避NIDS的检测。论文分析了会话流检测中所涉及的4类变体攻击问题，并根据适用于高速网络环境（Gbps）和主干网监测等要求设计了相应的检测算法。 为了改变各个原始警报信息相互孤立的状态，论文介绍了安全检测事件多级处理的思想。通过对原始警报进行冗余消除和关联分析，检测系统可以进一步减少警报数量，提高警报质量。论文重点对典型的冗余消除算法进行了比较，通过理论分析和实验验证证明基于事件时间间隔相对均方差的多特征关联冗余消除算法在冗余事件的识别程度、冗余消除度和对攻击速度变化的适应性方面均优于其他几种算法，并给出了该算法的实现。 最后论文通过系统测试证明改进后的系统检测能力和检测精度均得到了提升，其中改进版在测试中相比于原始版本分别减少了30％的误报和26％的漏报。由于检测规则和检测步骤的增多，改进版空间占用比原始版多出约15％左右，并在性能上有略微降低，但是在实践中这些降低程度都在可接受范围之内。如何在保证检测性能的基础上进一步提高精度是将来研究工作的重点之一。