本质上，入侵检测是一个模式识别和分类问题。支持向量机(SVM)对不平衡和非线性数据具有独特优势，因而尤其适合入侵检测分类器的设计。基于SVM的入侵检测方法已经取得了良好的效果，但仍存在以下不足：在处理高维、大规模入侵检测数据时，SVM方法训练时间长、检测速度慢；由于入侵检测数据具有动态性，当数据变化时，必须重建SVM分类模型，导致检测算法效率不高。针对以上不足，本文研究并提出了基于粗糙集和SVM的增量式入侵检测方法，并在KDDCUP1999数据集上进行仿真实验。主要研究成果如下：首先，针对高维入侵检测数据中存在无关属性和冗余属性，且样本集的变化导致原特征提取结果可能失效的问题，提出了基于简化二进制差别矩阵的增量属性约简(SBDM-IAR)算法。该算法首先引入简化的决策表，去除大量冗余对象。在此基础上建立简化的二进制差别矩阵，重复元素只存储一次，降低存储空间。同时对新增数据进行了详细地分析，设计了属性约简的更新机制，达到了对原约简的动态更新。其次，针对大规模样本集的动态变化导致原SVM分类器不适用的问题，提出基于云模型的增量SVM入侵检测方法(C-ISVM)。对初始样本集，提出了云边界向量的概念，定义出云边界区；对增量集，分析并扩展了KKT条件。在此基础上，对样本进行增量学习，完成增量SVM分类器的构造。最后，将以上两个算法进行结合，给出了基于粗糙集和SVM增量式入侵检测方法。此方法首先采用SBDM-IAR算法对入侵检测数据进行动态的特征选择，在此基础上运用基于云模型的增量SVM (C-ISVM)算法进行入侵检测。实验结果表明：基于粗糙集和SVM增量式入侵检测方法结合了SBDM-IAR算法和C-ISVM算法的优点，具有较好的入侵检测性能。