由于互联网和计算机网络技术的不断发展,用于检测未授权访问、行为不端和异常攻击的网络流量分析越来越受到相关研究人员的重视。因此对作为继防火墙之后的网络安全第二道高级防御的入侵检测系统(IDS)进行研究显得尤为重要。随着对网络流量以及入侵检测算法的深入研究,相关研究人员发现单分类算法对网络未知攻击的检测性能优于多分类算法,而且可以处理网络数据不平衡问题,所以研究基于单分类算法的IDS成为现在的热门课题,其中支持向量数据描述(SVDD)凭借精准描述数据样本空间,分类简便、精度高等优势成为主流的单分类算法之一。通过对现有入侵检测现状的分析和研究,本论文发现并总结了当前入侵检测研究仍然存在的两个问题,并针对性的分别提出了相应的入侵检测方案。因此本文的主要研究工作包括:(1)发现当前入侵检测方案存在的两个问题。1)在训练检测分类器阶段,现有基于SVDD的入侵检测方案未考虑良性异常值的加入,降低了分类器的准确率;并且在检测数据阶段,现有SVDD检测分类器仅根据距离进行判决,这会导致检测分类器整体误报率升高。2)有些网络攻击不需要发送多个攻击报文就能有效地进行网络攻击,所以其实施一般不会引起网络流量突变,从而造成网络训练数据集数据严重不平衡。在处理网络数据不平衡问题中,现有入侵检测方案往往忽略少数攻击类别与正常数据类别的错分代价,从而不能够精确检测位于两类交集的数据。(2)针对现有基于SVDD的入侵检测方案缺陷,我们设计了一种基于良性异常值和改进的SVDD入侵检测方案。在训练检测模型阶段,为了考虑良性异常值的加入,首先用正常数据训练SVDD检测模型,根据得到的SVDD惩罚参数为每个良性异常值生成自我检测器,避免了加入良性异常值后降低SVDD检测分类器对位于“拒识区域”数据分类精度,加强了对待检测数据中近似或等于良性异常值数据的检测,提高了整体检测模型的准确率;在检测阶段,针对现有基于SVDD入侵检测模型仅根据距离进行判决而无法精确检测位于“拒识区域”的数据问题,我们对SVDD的判决函数进行改进,设计了基于距离和密度相结合的加权判决函数,加强了对“拒识区域”数据的检测能力,从而使检测系统误报率降低。实验部分从准确率、检测率、误报率等方面验证了所提方案的有效性。(3)针对网络数据不平衡问题以及现有方案未考虑少数攻击类别与正常数据类别的错分代价,从而不能精确检测位于两类交集的数据问题,提出了一种基于改进的采样算法的入侵检测方案。在处理数据阶段,针对网络数据不平衡问题,提出一种改进的K-means数据压缩和SMOTE过采样算法。首先采用改进的K-means在KDDCUP99数据集上对Normal、Dos数据类别进行数据压缩;用改进的SMOTE对U2R和R2L攻击数据进行全局过采样使得与正常数据集达到相对平衡,然后依据代价敏感性学习思想寻找合适的边界数据进行局部过采样,从而解决数据不平衡问题。最后在数据处理中考虑U2R、R2L和Normal错分代价的前提下,为了能有效检测U2R和R2L并保证整体检测性能,提出一种多级混合SVM和改进的SVDD的检测模型。在网络入侵检测基准数据集KDDCUP99上进行相应的实验表明,该方案具有准确率较高、误警率较低等优点。