在当今热门的互联网的应用领域,如云计算、Io T中,主机入侵检测技术的成熟应用能很大程度上提升关键基础设施主机的安全水平。在基于主机入侵检测技术研究方面,前人已形成较为丰富的研究成果,如基于N-Gram滑动窗口方法、基于传统机器学习进行特征提取的方法、基于深度学习的方法等,从侧面展现出主机入侵检测研究的重要性。上述方法各有特点,但在现实训练中,分别存在训练数据要求高、计算代价高、易过拟合等现实问题,有待进一步研究优化。此外,在开展相关研究时,入侵检测数据集中异常样本的数量和比例普遍偏低,影响了对检测方法的效果评价,需要考虑通过过采样的方法提升异常样本数量。本文认为,此前学者常常采用的SMOTE过采样方法仅适用于连续型的数据,因此,在该领域开展过采样技术的研究也有重要的意义。针对主机序列异常检测以及样本平衡两个领域的问题,本文在研究当前技术的基础上,提出了多种方案,并通过在ADFA-LD数据集的实验分别验证其有效性。本文主要研究内容如下:在异常检测方面,首先,提出两种基于关键命令提取的检测方法。其一,针对主机序列中命令分布稀疏的特点,提出基于Lasso关键命令提取的异常检测方法,实验表明,通过Lasso回归能有效降低主机序列特征的维度,在KNN分类器下实现较好准确率,并且所需特征维度可控制在较低的范围。其二,提出基于Text Rank关键命令提取的方法,根据主机序列的语义化特点,将每串主机序列转换为有向有权图,并计算序列中所有命令的Text Rank权重,根据权重高低提取每串序列的关键命令。实验证明该方法可较传统基于TF-IDF的方法提升单次判断效率。其次,本文提出了一种基于序列向量的主机序列异常检测方法,先对所有命令进行词嵌入表示,然后通过主机序列建模,将主机序列转化为向量。实验中,对向量化后的命令和序列分别进行了可视化探索,在异常检测中,发现序列向量在简单的1-NN分离器下,可实现较为理想的检测结果,特别是在误报率表现方面,较前述方法有了极大提升。此外,对于不同的词嵌入方法在该模型中的应用效果,进行了一定的比较。样本平衡方面,为解决异常训练样本不足的问题,本文在前人研究基础上,将深度卷积生成对抗网络的方法应用在少数样本生成领域,并提出一种对Adam进行优化的方法,从而增加了收敛频率,制造更多生成样本;在进一步实验中,通过多种异常检测技术对该方法展开验证,与其他数据平衡方法进行比较,以及在不同样本平衡程度下,对该方法所生成样本在数据中的检测效果进行讨论。结果表明,该方法生成的异常样本能被有效识别出来,不同程度地改善各类检测方法的检测结果。