在这个高度信息化的时代,互联网已经与人们的日常工作、学习和生活息息相关,网络正在以惊人的速度进入人类社会的各个角落,成为了必不可少的信息渠道。在网络高速发展的同时,网络安全问题也随之受到人们关注,黑客攻击、恶意软件攻击等入侵行为层出不穷,甚至已经在国家层面对我国安全构成了巨大威胁,因此十分有必要对网络安全技术进行研究。传统的防火墙和软件更新等静态防御手段已不足以抵御带有目的性的网络攻击,越来越多的企业与机构使用入侵检测系统作为安全基础设施的必要补充。网络入侵检测技术总体分为误用检测和异常检测两种,前者根据已发现的攻击与网络数据做模式匹配,能够有效检测已知的入侵攻击,但是无法检测未知攻击;后者建立正常活动规范集,当系统检测出违反其统计规律的数据时,认为发生了异常行为,异常检测技术能够检测未知攻击。目前常用的网络入侵检测系统较多应用误用检测技术,如今网络攻击变化多端,基于误用的网络入侵检测系统已经不能满足企业与机构的安全需求,针对这个现状,需要大力研究与开发基于异常的网络入侵检测系统。针对异常检测中网络数据量大、分析计算成本高导致的误报率、漏报率高的问题,本文综合考虑,将样本包含的信息熵作为度量大幅度约简样本特征子集并结合支持向量机(Support Vector Machine,SVM)技术,提出了一个基于信息熵和SVM原理的入侵载荷检测系统,该系统统计从网络数据包中提取的有效载荷信息,使用有效载荷信息熵作为聚类基础,并集成了许多个单类SVM分类器来检测网络攻击,避免了样本计算规模大、误报率高的缺陷,实现了入侵检测效率与准确度的优化。本文设计的入侵载荷检测系统主要分为四个模块:检测信息采集模块、数据特征提取模块、聚类降低维度模块和模型检测分类模块,最终得到检测结果。其中聚类降低维度模块采用基于信息熵的聚类算法,该算法能有效减少簇内JS散度与增大簇间JS散度,从而得到较好的聚类性能,缓解了维度灾难并且为入侵检测系统的效率提供了保障。模型检测分类模块使用SVM技术在训练阶段得到阈值,而在检测时,只需将有效载荷在SVM模型中计算的分数与阈值相比较即可判断该有效载荷的异常与否。由于可执行代码攻击对有效载荷的结构化信息影响较大,因此本文的入侵载荷检测系统对此类攻击的检测准确,在低误报率的前提下,仍然具有相对较高的检测率。