入侵检测作为一种积极主动的防御手段,近年来已成为信息安全领域的研究热点。针对信息安全等级保护测评过程中发现的四种主要攻击类型,拒绝服务攻击(Dos)、监视探测活动(Probing)、远程用户攻击(R2L)和提权攻击(U2R),现有的入侵检测系统检测的正确率仍然有待提高。基于支持向量机算法的分类模型,无法对最优分类面附近的样本做出正确分类,基于k近邻的分类模型易受样本分布不均衡影响,导致检测结果极不稳定。为实现在原有分类正确的基础上,进一步提高入侵检测的正确率,本文提出一种将支持向量机和k近邻相结合的入侵检测模型,在分类时,计算待识别的网络连接记录样本与最优分类超平面的距离,如果距离大于预设阀值,采用支持向量机算法对连接记录进行分类,否则采用k近邻法对连接记录进行分类。本文主要研究工作和创新点如下:(1)在入侵检测领域内首次提出将支持向量机和k近邻相结合的分类方法,根据样本在特征空间的分布情况,采取相应的分类方法对样本进行分类。(2)为减少样本分布不均衡对k近邻法所造成的不利影响,采用带权重因子的欧式距离来度量样本间的相似度。(3)在数据预处理阶段,对字符型、离散型和连续型三种类型的数据做归一化处理,将它们转化成具有统一度量标准的0~1之间的实数。(4)以类间间距与类内间距之差衡量各个特征对分类结果的贡献大小,以分类的准确率作为评价标准,选取最能表征各种攻击类型的特征组合。(5)采用网格搜索法,寻找RBF核函数中的惩罚参数c和核参数s的最优组合。逐步增大k值,观察其变化对k近邻法分类准确率的影响,选取分类准确率达最高值时的k值。最后将信息安全等级保护测评项目中采集到的网络数据包已建立的分类模型上进行测试,对测试结果进行分析,验证分类模型的有效性。结果表明,相对于单一的支持向量机入侵检测方法,k近邻与支持向量机相结合的入侵检测方法可以进一步提高网络入侵检测的正确率,是一种较好的网络入侵检测方法。