随着网络的普及和黑客的增多，网络安全问题变得日益重要。作为防火墙的重要补充，入侵检测(IDS)技术成为当前网络安全研究领域的热点。目前IDS存在一些问题，如误报率和漏报率比较高，检测速度慢，占用资源多等。本文针对这些问题，在深入分析Snort、移动代理、模糊推理、最优搜索等技术的基础上，对入侵检测的算法和体系结构作了创新性和探索性研究。主要内容为：(1)研究了模糊推理petri网(FRPN)在入侵检测系统中的应用方法，对FRPN的定义进行了修改，引入了命题的加权因子，同时修改了推理算法，对FRPN应用于入侵检测系统中的合理性进行了验证。FRPN的推理方法一般是模糊命题合取式的真值取各子式真值的最小值，析取式的真值取各子式真值的最大值。在入侵检测系统中，这种方法没有考虑命题在规则中的权重，致使推理不够准确。引入加权因子后，就能够考虑各事件的权重，使推理更加准确。(2)研究了最优搜索理论模型和它在入侵检测的规则匹配中的应用。通过将规则库按照攻击类别分类，然后根据最优搜索原理，将有限的时间分配到各类攻击的检测中去，在尽量不丢包的情况下使检测到攻击的概率最大化。在一般的IDS中，规则匹配的过程采用遍历法，如果匹配过程中使用模式匹配，则在高速网络下就会丢失较多的数据包。如果检测速度不变，可以考虑选取部分规则进行匹配。本文通过最优搜索理论，根据已发生的和可能发生的攻击的情况，对检测时间进行最优分配，减少匹配工作量，尽量使IDS不产生丢包，从而检测到更多的攻击。(3)研究了分布式入侵检测系统的体系结构，提出了一种基于Snort和移动代理(MA)的入侵检测模型。通过主机信息收集器(HIC)收集主机事件，通过Snort和网络信息收集器(NIC)收集网络事件。通过移动代理将各事件信息进行融合分析，从而提高检测的精度。这种结构，不但能检测到传统的攻击行为，而且能检测到分布式攻击。使用移动代理，还可以减少网络数据流，提高系统实时性，而且管理方便。