入侵检测技术作为动态安全防护系统最核心的技术之一，在网络安全保障体系中起着极为重要的作用。但是由于网络攻击行为的不断加剧和攻击手段的不断升级，使得现有的网络入侵检测系统普遍存在检测率较低，误警率和漏检率较高的问题。为了解决这些问题，我们需要探索异常检测的新方法。 本文在集成学习理论的框架下，研究了提高入侵检测检测精度和检测速度的方法，所取得的创新性成果主要有： (一)设计并建立一个与因特网相连通的入侵检测实验环境，在网络系统同时提供多种正常服务的情况下实施多种攻击，在不同采样时间窗下采集网络连接数据，并实时地抽取特征，形成30多万条连接的实时检测数据集。由于本入侵检测实验系统与因特网相连通，因此所得到的实时检测数据集比局域网环境下的更接近真实情况。同时，本文在实时检测数据集上采用集成的办法实现了多类分类，并取得了较好的分类效果。 (二)从构造差异度大的集成个体的角度出发，提出了基于随机子空间PCA(PrincipalComponent Analysis，主元分析)的SVM—Bagging(Support Vector Machine-Boostrap Aggregating，支持向量机．自助聚集)多类分类集成方法。本文分别在KDD99(Knowledge Discovery and Data Mining，知识发现与数据挖掘)数据集和实时入侵检测数据集上进行了仿真实验，验证了算法的有效性：同时还通过实验探讨了其中的三个参数-训练集采样样本数N和集成中单分类器个数L以及子空间分块数K对集成学习效果的影响，并将其与．Bagging—SVM集成方法以及Multi-SVM(采用全部的训练样本)进行检测性能对比，讨论了随机子空间PCA的SVM-Bagging集成和一般的SVM-Bagging集成的差异度。研究结果表明，随机子空间PCA的SVM—Bagging集成为构造泛化能力强、差异度大的、检测精度高的多类分类集成提供了新的途径和方法。 (三)从网络入侵特征简化的角度出发，利用了粗糙集在计算特征约简时能保持约简前后数据的分辨能力不变的特点，提出了一种结合粗糙集约简和支持向量机多类分类集成方法。本文分别在KDD 99数据集和实时入侵检测数据集上进行了仿真实验以验证了算法的有效性；同时还通过实验探讨了其中的两个参数-训练集采样样本数N和集成中单分类器个数L对集成学习效果的影响，并将其与基于随机子空间PCA的Bagging—SVM集成方法进行检测性能对比，讨论了两种方法的差异度。研究结果表明，基于粗糙集特征约简的SVM多类分类集成方法具有差异度大的、检测精度高、检测速度快等特点，是一种有前途的入侵检测方法。此外，在特征约简方面还进行了一些相关的工作，实现了基于量子粒子群的网络入侵特征选择与检测。 (四)针对入侵检测数据集的样本类别分布不平衡的特点，提出了抑制噪声的多类分类Adaboost(Adaptive boost，自适应提升)集成方法。本文分别从基分类器和集成方法的角度来研究提高泛化能力和检测速度的算法。给出了能提高检测速度的基于核空间低秩逼近的最小二乘支持向量机稀疏化算法及其实验仿真结果。阐述了Adaboost及其多类分类集成方法，提出了用代价矩阵来解决样本不平衡问题，用阈值设定法来抑制噪声样本，并在KDD99数据集上对该算法进行评估。