由于网络中网络攻击的不断上涨,网络安全已经成为一个重要的研究领域。随着互联网中不断增长的在线交易和电子商务活动,攻击者将攻击的重点放在了恶意入侵上。由于攻击者们不断开发出了各种以网络流量为攻击载体的方法,因此研究者们有必要不断提出和开发新的方法,用来识别和分类网络流量进行入侵检测。为了将恶意流量（恶意软件）与正常流量（非恶意）区分开来,通常会部署基于包或基于流的方法来将恶意流量和正常流量进行区分。基于包的方法通常考虑网络数据中所有包的有效负载来识别和分类流量以进行入侵检测。相反,基于流的方法将网络数据统计汇总为流,对流量进行分类以进行恶意程序入侵检测。使用基于流的方法在降低计算复杂度和获得更高精度方面更为有利。因此,本文的研究仅限于采用基于流的方法对恶意流量和非恶意流量进行分类检测。本文针对机器学习的方法,对网络流量特征进行了优化。在三个真实数据集上对所提出的方法进行了测试,并从精确度、F1-测度、准确度、召回率和混淆矩阵等方面给出了测试结果。首先,通过在三个真实数据集上的实验,通过基于流的特征,利用决策树、随机森林和朴素贝叶斯分类器对数据进行分类。并在此基础上,提出了一种新的度量标准“additive flow sizes”,并将其应用于基于逻辑回归和决策树的混合分类模型中。其次,利用卷积神经网络（Convolutional Neural Network,CNN）对恶意流量和非恶意流量进行分类,实现入侵检测。本文所提出的模型在原有的网络流量和提出的新指标上都表现得很好,在所有情况下都达到了92%以上的准确率。综上所述,本文的主要贡献如下:1.研究了参数优化在机器学习网络流量分类中的重要作用。研究了包裹式特征约简技术中的两种组合算法（前向选择和后向消除）,确定了特征与学习算法的相关性。此外,本文还提出了一种新的度量标准“additive flow size”,将其作为特征,将逻辑回归和决策树相结合应用于传输控制协议（Transmission Control Protocol,TCP）/用户数据报协议（User Datagram Protocol,UDP）的正常和恶意流量分类中,用于入侵检测。2.由于CNN在模式识别和图像分类方面的突出表现,CNN的用途已经被扩展到了网络流量分类方面。CNN是最近常被使用的网络流量分类技术。因此,将提出的“additive flow size”标准与CNN结合一起用于TCP/UDP正常和恶意流量分类中,用于网络流量入侵检测。本文提出了一种基于流的可加性网络流量分类系统（FANTCS）模型,该模型采用三元组（数据包、字节和类目标）对网络流量进行有效的分类。3.为了验证所提出的方法在实际应用中的适应性,本文提出了一个原型系统的设计与实现,使用超文本标记语言（Hypertext Markup Language,HTML）标签创建用户界面,使用Python框架将现有代码与界面进行衔接,通过Java Script输出精度和矩阵。利用该原型系统,对所提出的方法进行了基本的工作演示和验证。