随着网络规模的扩大,数据来源和数量的增加,网络异常的行为变得越来越猖獗。传统的网络监控方法已不能帮助网络管理人员认识网络的状态和趋势,网络态势感知技术随之被提出,用来综合各个方面信息,提供高层次宏观的网络安全信息。其主要分析的数据来源包括主干网的Netflow流量信息,和受控局域网中入侵检测系统的报警记录。本文致力于解决局域网内的入侵检测,检测的异常作为态势感知的一个影响指标提供高层分析。网络态势感知在局域网一级,主要需要实时的获知异常的发生,并要求能够检测从未出现过的异常。目前多数的网络入侵检测产品采用简单模式匹配技术,只能检测出已知的攻击模式。而基于生物免疫的入侵检测系统是通过模仿生物的免疫工作机制,使得受保护的系统能够将非自我的非法行为与自我的合法行为区分开来,识别从未出现过的异常,使受保护对象在不断变化的环境中维持稳定。本文的主要工作如下:一是针对现有检测器生成算法存在时间效率上的不足提出了一种新的检测器生成算法:该算法分阶段实现了检测器的更新机制,提高了检测率,加快了检测速度。二就是在Kim小组提出的动态克隆选择算法的基础上进行深入性的研究与分析,提出改进的入侵检测模型。针对网络中大部分数据为正常数据这一现象,该模型加入了自体模式集模块,首先产生少量的自体模式集对正常数据进行处理,只有与自体模式集偏离的数据才会进行下一步检测。这样加快了模型的处理速度,精简了自体规模,提高了耐受速度,降低了误检率;同时,本文还着重研究了基于TCP/UDP连接的特征提取,论述了检测器表现型到基因型的映射,完成了待检数据和检测器的编码,这是实现入侵检测模型的基础;最后对原有检测模型的一些方面进行了修改和详细实现,有对误检记忆细胞、误检成熟细胞以及过期成熟细胞的处理,阐述了记忆检测器集合的删除策略等。为了更好的验证模型效果,提高检测精度,本文采用KDD CUP99数据集进行了仿真实验,对提出的改进模型与传统的动态克隆选择算法进行比较分析。实验结果表明该新型模型具有较好的检测性能和检测效率。