随着网络技术的发展及网络应用的普及,入侵检测作为网络安全的主动防御工具,也面临着更多新的挑战,尤其是在大量的网络数据、在线学习以及噪声数据等情况下,无法准确识别网络行为。作为分类问题的入侵检测,是根据提取到的用户特征数据把用户行为分为正常行为和异常行为,因此入侵检测可转化为模式识别问题。　　 支持向量机是基于统计学习理论的一种新的机器学习方法,特别是在高维数据空间下,能够有效克服维数灾难、过学习等问题,已经在模式识别、回归计算等领域得到广泛的应用。因为支持向量机具有非线性、小样本、全局最优等优势,把支持向量机应用到入侵检测中,可以在先验知识不足、高维数据、非线性等情况下,仍然具有较高的检测准确率,提高入侵检测系统的整体性能。　　 本文分析了支持向量机应用到入侵检测中的优点和不足,结合网络入侵检测应对大规模网络的丢包率高、噪声数据多、在线学习难等问题,给出相应的解决方法,主要工作包括:　　 (1)提出了一个协同入侵检测模型,该模型包括数据采集器、数据预处理、检测代理和决策相应四部分。多个检测代理协同工作有效减少检测系统由于负载过大而导致丢包率,从而更准确的获得网络行为特征,提高检测系统的检测准确率；　　 (2)构建了三类检测代理:TCP检测代理、UDP检测代理和ICMP检测代理,并根据不同的协议类型对检测代理进行相应的特征提取,分别用32、21和18个特征代替KDDCUP数据集中的41维特征,因此大大减少了检测代理处理数据的时间:　　 (3)将模糊隶属度函数引入到检测代理的构建中。消除或者减少噪声数据对构建分类超平面的影响,从而更准确的构建支持向量机决策函数,提高支持向量机的分类准确率；　　 (4)采用支持向量机并行算法构建检测代理。支持向量机训练的时间复杂度是O(n3),随着训练数据集的增加,训练时间也急剧增加,并行算法可以有效的减少训练时间；　　 (5)引入自适应机制到检测代理的构建中。针对准支持向量的特点,并结合KKT条件和无监督聚类算法,对支持向量机的增量学习算法进行改进；并将改进的增量学习算法应用到入侵检测中,使得检测系统具有较好的自适应性。　　 最后,使用LIBSVM平台对KDD99数据集进行仿真,仿真结果表明协同入侵检测系统提高了检测代理处理网络数据的能力、减少噪声数据的影响、缩短训练时间以及增强了检测系统的自适应性。