由于攻击的复杂性，单一的检测技术难以具有全面的攻击检测能力。具有多检测引擎的入侵检测系统能够克服单一检测技术的检测局限性。但是目前的多检测引擎构建技术缺乏有关检测功能划分的理论指导。本文基于攻击的检测者观点，提出了基于检测特征的攻击分类方法，将攻击按照检测特征分为5个基础类。在此基础上，构建以攻击分类为基础的具有异构检测引擎的入侵检测系统框架。实验表明，该框架可以有效地检测各类攻击，并具有较好的变形攻击检测能力。

为了弥补当前网络安全态势评估系统的不足，提出了一种基于攻防对抗环境的网络安全态势量化评估算法。该方法在深入分析影响安全态势各项因素的基础上，将传统的风险评估与网络防护状况、资产安全特性等环境因素相结合，提取出多个量化指标，按照攻击类别进行安全态势的量化评估。实验结果表明，该方法能够为安全管理人员提供更为客观、详实的态势信息，使之更为清晰地把握整个网络的安全状况。

针对专家系统知识库中的知识具有模糊特性以及知识库需要频繁更新的特点，设计了一种基于模糊Petri网的动态知识表示与推理方法。该方法利用实际环境中的数据，通过学习来调整知识模型的权值、阈值和确信度等参数，从而实现知识库的动态实时更新。此方法同时结合了产生式知识表示方式和神经网络知识表示方式的优点：知识模型结构清晰，参数意义明确；具有学习和并行推理能力。仿真实验结果表明，经过训练调整后的知识模型具有更高的准确度。