网络技术的迅速发展和普及,给人们带来了诸多便利,同时网络安全事件也频频发生。传统网络安全技术例如防火墙、加密和认证等具有静态和被动防守的特点,尚不足以为网络提供全面防护。为了弥补技术上的不足,入侵检测系统应运而生,它通过主动防御来帮助系统应对入侵行为,提高了信息安全基础结构的完整性。近些年来,机器学习因其可以降低对人类专家的依赖、善于学习数据中隐藏的规律等优点在入侵检测中得到应用,并成为研究的热点。面对网络环境和网络安全形势的新变化,本研究拟拓展机器学习在网络入侵检测中的应用空间,以期进一步优化入侵检测系统的实时性、有效性和可靠性。本文主要研究工作如下:第一,针对现有网络入侵检测系统难以快速及时分析高速网络中海量数据的问题,本研究设计了一个具有高准确率和低漏报率,尤其是能够快速及时分析高速网络中大规模数据的入侵检测系统。为达成这一目标,本研究分别从局部和整体出发。从局部来看,我们充分利用Light GBM算法的优势,提高数据预处理阶段和决策阶段的时间效率。从整体来看,本研究采用并行检测机制对不同时间窗口到达的流量数据进行分析,这样可以避免后面时间窗口到达的数据排队等待造成的处理时间的延迟。在实验部分,本研究先通过离线实验与一些现有研究对比,验证了该系统具有良好的检测性能。然后,进行了近实时实验,将真实场景中的网络流量进行回放,进一步验证了该系统的实时性优势。第二,针对现有单个机器学习算法应用于多分类入侵检测任务时,网络数据类别不平衡引起的检测性能不佳(例如检测率低、误报率高)的问题,本研究设计了一个多层混合入侵检测方法。该方法的主要设计思路是,将多分类入侵检测任务分解为逐步进行的多个二分类入侵检测任务,在这些二分类任务中采用多个机器学习算法(主要是指K近邻算法和Cat Boost算法)而不是单个机器学习算法。这样能够综合利用多种机器学习算法在不同类别中的分类优势,提升多分类入侵检测的性能。在实验部分,将该多层混合入侵检测方法与一些其他方法进行对比,验证了该方法能够提升多分类检测性能。