入侵检测是维持网络安全的重要手段,其通过对流量日志进行分析,可以及时发现和阻断网络入侵。在入侵检测中,由于背景流量包含所有非入侵的流量,具有数据量大和流量种类多的特点,因此构建出具有代表性的背景流量数据集非常困难。本文中,将入侵流量作为正例数据,研究了基于正例和无标签学习的入侵检测方法,从而避免构建背景流量数据集,使入侵检测系统具有更好的泛化性能。在基于正例和无标签学习的入侵检测系统构建过程中,主要从以下三个方面展开研究:1)针对入侵检测中背景流量数据量大的特点,研究了特征加权OCSVM模型用于背景流量过滤。在本文中,首先分析了OCSVM特征加权的原理;然后研究了正例和无标签学习中关键特征识别方法,指出通过正例数据和反例数据的分布差异可以识别关键特征;最后给出正例和无标签学习特征重要度的计算方法,并将特征重要度作为特征权重对OCSVM模型进行加权。2)研究类先验概率估计算法。类先验概率是无标签数据集中正例样本所占的比例,其是正例和无标签学习的必要条件。在本文中分析了类先验概率估计的原理,提出基于部分匹配的KL-KDE算法和OCSVM-c E算法,最后通过实验分析了两种算法的估计准确率和运行效率。3)针对入侵检测中的数据不平衡问题,研究了nn PU模型在数据不平衡问题下的解决方案。在nn PU模型中,数据不平衡会导致其risk estimator由无标签数据主导,从而使得模型对于正例样本的识别能力弱,本文中通过Focal loss的动态权重平衡由于类先验概率,提出了FL-nn PU模型,并将FL-nn PU与二分类模型比较,探讨了FL-nn PU模型的性能。最后基于以上研究设计并实现了基于正例和无标签学习的入侵检测系统。通过采集真实流量对系统进行测试,其中入侵流量通过模拟网络入侵和进程抓包采集,背景流量通过交换机端口镜像获得。测试结果显示该系统可以有效的过滤背景流量,估计类先验概率,并通过训练FL-nn PU模型完成入侵检测,检测的准确率达到90%并且召回率达到95%。