攻击检测是攻击防御的前提,在防止安全威胁和保护网络免受攻击方面发挥着重要作用。多年来,攻击者与防御者始终在进行着博弈,新型的、组合式或更高级别的攻击模式不断出现,网络流量数据量大且特征维度高、攻击流量数据远小于正常流量数据、网络丢包导致流量特征不完整、未知攻击和攻击变种不断涌现,传统的机器学习方法遭受较低的检测率和较高的误报率。为了解决这些难点,本文结合深度学习和生成方法的优点构建深度生成模型来检测和识别攻击。本文的主要研究内容及研究成果如下:（1）针对网络流量数据量大并且特征维度高,传统分类器检测性能低的问题,本文提出了一种使用改进的密度峰值聚类算法（MDPCA）和深度置信网络（DBN）相结合的攻击检测模型（MDPCA-DBN）。MDPCA将原始训练数据集分割成具有相似核空间属性集的不同簇的多个子集,每个子集用于训练自己的子DBNs分类器。这些子DBNs分类器可以学习和探索高级抽象特征,自动降低数据维度,并很好地执行分类。根据最近邻准则,计算测试样本在每个子DBNs分类器中的模糊隶属度,检测模型根据模糊隶属权重聚合输出最终的分类结果。实验结果显示,MDPCA-DBN在 NSL-KDD（KDDTest+）、NSL-KDD（KDDTest-21）和UNSW-NB15数据集上分别获得了总体70.51%、61.57%和96.22%的检测率。（2）针对网络流量攻击样本不平衡导致少数类攻击检测率低的问题,本文提出了一种使用改进的条件变分自编码器（ICVAE）和深度神经网络（DNN）相结合的新颖的攻击检测模型（ICVAE-DNN）。在训练好ICVAE网络后,将潜在空间中采样的潜在样本点和指定的少数类的类别标签一起联合输入到训练好的ICVAE解码器中生成指定的少数类别的攻击样本,根据同类攻击样本的重构误差最小原则,将满足重构误差条件的新生成攻击样本合并到训练数据集中,从而增加训练样本的多样性并且平衡了训练数据集,结果提高了不平衡少数类攻击的检测率。训练好的ICVAE编码器被用来预先初始化DNN网络,自动提取高级别的网络特征,以便使DNN可以通过反向传播和微调轻松实现全局优化。实验结果表明,ICVAE-DNN优于传统七种过采样方法,提高了少数类样本的检测率,在NSL-KDD（KDDTest+）、NSL-KDD（KDDTest-21）和UNSW-NB15数据集上分别获得了总体85.97%、75.43%和89.08%的正确率。（3）针对流量特征不完整导致网络攻击检测模型检测性能低的问题,提出了一种采用正逆向对抗学习方法构建逆变条件生成对抗网络（ICWGANInveter）,该网络既可以进行不完整特征重建,也可以用来识别攻击。ICWGANInveter通过逆生成器和生成器实现输入样本和潜在编码之间的相互映射。ICWGANInveter的逆生成器和生成器能够对具有相似隐含结构特征的同类攻击数据进行重构,具有相同类别的攻击数据重构误差最小,不同类别的攻击数据重构误差较大,因此训练好的ICWGANInveter既能根据逆生成器和生成器的重构损失来自动识别和检测不完整特征的攻击,又能根据预测的类别标签进行特征重建。实验结果表明,ICWGANInveter在KDDTest+和KDDTest-21测试集上分别获得了 89.18%和80.32%的正确率和89.96%和86.99%的F1-score。（4）针对未知特征的网络攻击检测率较低的问题,提出了一种将有监督的带正则化的对抗变分自编码器（SAVAER）与深度神经网络（DNN）相结合的网络攻击检测模型（SAVAER-DNN）。在已知攻击样本的潜在代码上进行扰动生成具有特征相似性的攻击变种样本,将满足同类重构误差条件下的攻击变种样本合并到原始训练数据集,从而增加训练数据的多样性。将训练好的SAVAER编码器用于初始化DNN权重参数,使得DNN更接近全局最优且易于训练。利用新合成的训练数据集训练DNN分类模型,将未知攻击检测的问题转换为已知攻击识别的问题,从而提高未知攻击的检测率。研究结果表明,SAVAER-DNN不仅可以检测已知和未知攻击,而且可以提高低频攻击的检测率。综上所述,本文重点研究的是利用深度生成模型执行不同场景下的网络攻击检测任务。实验结果表明,本文提出的检测模型能够有效地提高网络攻击的检测性能,针对上述提出的四类场景具有现实意义。