计算机安全领域的一个最大的挑战就是区分正常行为和可疑行为。半个多世纪以来,研究者们大多依靠一些规则来识别以及阻止特定的计算机事件。然而,随着越来越多的大型IT系统之间的连接,计算机事件识别问题变得更为突出,急切需要发展计算机自适应防御体系。研究者们从生物学计算中得到一些启示,特别是人工免疫系统方面,人体免疫系统能防御并且检测对人体有害甚至先前未曾遇到过的入侵者,研究者们试图在计算机系统中构建类似的防御检测系统,使其具有人体免疫系统中类似的耐受、自适应、自检测的特性。受此启发,本文在免疫网络理论基础上提出了一种分布式的入侵检测思想,构建了一个基于异常检测技术的分布式网络入侵检测模型。不同于基于群体免疫原理的入侵检测系统,本文模型是基于免疫网络理论的,不仅考虑了检测器串和数量的更新,还考虑了检测器间刺激作用的改变,而且本文模型是分布式的检测,较独立检测模型有所改进。本文入侵检测模型有以下特点:(1)基于免疫网络理论。该理论认为生物体内的免疫细胞除了识别外来的抗原外,还将识别自体的其他免疫细胞,这样才使得生物体内的免疫系统在几十年中一直保持动态的平衡。因此,本文入侵检测模型中的异常检测器是互相识别、互相刺激的,随着外界网络数据的变化处于不断变化当中。(2)分布式的检测过程。本文入侵检测模型是一个分布式的协同工作结构,模型由分布在不同网段的站点组成,每个站点内部的检测器构成一个免疫网络。站点之间的检测过程,结合结构化P2P网络中的路由技术实现,即本站点可能会求助于其他站点来完成入侵检测。(3)站点间的互相激励作用。模型中,在某个站点求助了其他站点时,如若求助有效,会给对方站点以激励作用,即不同站点之间存在互相刺激作用,仍然构成一个免疫网络。最后,在虚拟机上对本文模型进行了实验验证。实验中,以误警率和漏报率两个指标来评价模型入侵检测的效果。通过对收集的大量数据的检测,发现分布式检测时各个站点的检测效果较独立工作时有了很大的改善。本文模型尚处在测试初期,虽然证明了模型的有效性,但完善方面还有很多工作要做。以后的工作有:采用更加完备的正常网络数据和典型的攻击网络数据来培养检测器,在真实环境中重新布置实验环境,优化免疫网络进化过程,以及重新选取或优化分布式检测时的路由算法等等。