随着世界范围内计算机和网络的广泛应用,复杂的网络结构促进着新的威胁产生,网络攻击模式显著增加,入侵检测系统及其相关技术作为一种有效的防御手段,因而得到了业界的大量关注。本文主要研究成果如下:（1）针对现在的互联网环境,对于攻击的检测有两个主要的挑战。第一,网络流量大,而且产生快;第二,特征选择问题,攻击形式多样,不同场景适用性问题。在此之前,使用的机器学习方法执行任务都是基于特征选择的,样本的特征选取工作都是人工（领域专家）来完成的,传统的方法对于无论是在适应性和效率上都不能满足在现代大数据环境下的网络需求。为了解决上述问题,我们提出了一个基于机器学习的方法,应用于入侵检测的系统,该系统不仅能学习特征而且还根据先前未定义的攻击进行自我调整。具体来说,我们使用改进的自编码器对输入的数据进行特征学习,并提取主要特征,然后使用Softmax回归分类,最后我们使用NSL-KDD入侵检测标准数据集来验证模型的可用性,这种简单的网络对大量数据可以在很短时间做出准确的预测。（2）在现代高速的互联网环境下,传统的基于机器学习的入侵检测往往仅考虑采用单一算法对入侵数据进行识别,存在的方法僵化、检测率低、没有考虑高维数据等问题,这样并不能很好地解决以上问题。为了改善入侵检测系统的整体性能问题,基于前文的研究,我们提出了一种新型的入侵检测框架可以解决上述问题,该框架由数据预处理模块,自编码器模块,数据库模块,分类模块和反馈模块五部分组成。预处理的数据经过经过自编码器模块的稀疏自编码器模型的压缩,得到了一个较低维度的重构特征,这种低维重构特征能有效提高分类器的精度,并能通过分类模块快速地得到分类结果。压缩后的每条流量的特征存储在数据库模块中的数据库里,我们称为特征库,这个库可以为分类模块提供重训练和测试使用,也可以把这些特征恢复至原来的流量,用于事后的分析取证。这五个部分组成了框架的三个主要功能（检测功能、重训练功能和恢复功能）,完善了整个框架。我们使用CICIDS2017数据集模拟网络的实际流量来评估我们框架的表现,分类结果表明,二分类和多分类情况下,分别和先前的工作相比取得了更好的结果,并对不同参数下算法的训练和测试时间做了对比分析,保证框架的整体性能没有降低,同时,恢复的流量也能达到较高的准确率。最后的部分,针对本中提出的框架在边缘/雾网络的应用可能性进行了讨论。