随着计算机网络的快速发展,网络安全问题日益突出。依靠传统的数据加密、防火墙、安全认证、反病毒等安全技术,不足以抵抗现代的入侵与维护系统的安全。近年来入侵检测(Intrusion Detection)的思想被提了出来,并逐渐成为研究热点。　　 入侵检测技术通常采用机器学习等“主动”学习策略,通过建立检测模型,检测主机或网络中可能的攻击行为。本文在分析已有的SVM算法和入侵检测算法的基础上,完成了基于KNN-SVM的网络入侵检测技术的研究,构造了一个适合网络入侵检测系统的分类器。本文主要对以下几个问题进行了研究:　　 1.入侵类型分类器的选择本文做了一些实验,对比常用的神经网络分类器与SVM的性能,SVM分类器运算速度,对训练样本数不敏感,特征维数的增加也不会增加其分类的复杂性等性能优势。同时也通过实验验证了将SVM应用于入侵检测的可行性。　　 2.入侵数据特征空间选择对于SVM而言。特征选择后可以较大地提高其识别速度,而速度对入侵检测系统走向实用有着重要的现实意义。在保证分类器的泛化能力的前提下,期望用最少的特征构造分类器,这就是特征选择,本文利用特征选择的方法,简化SVM分类器,并构造了更加具有针对性的子分类器。　　 3.建立入侵检测框架模型参考通用入侵检测框架,设计了一个基于KNN-SVM的入侵检测系统模型,并实现了部分模块。应用KNN分类器来应对数据样本不平衡所带来的分类误差,同时应用SVM的泛化能力对提升系统的自适应性。　　 4.增量学习方法在入侵检测中的应用研究增量学习算法都能够舍弃无用的样本,保留绝大部分可能编程支持向量的样本,同时也保证了分类的精度。对比于传统的SVM重复学习的方法它的训练集只是在原样本和新增样本的简单合并,其训练的时间复杂度随着样本集合的不断地增大而变得无休止地复杂。而采用增量学习方法却可以在新增样本增加后不断发现新的支持向量,舍弃无用样本,有效地压缩样本集大小。这无疑就体现了增量学习方法的优越性性能。　　 本文将增量学习的方法应用于SVM入侵检测分类器的构造,实现了多种多类分类方法,针对KDD CUP99数据集进行了测试实验,实验结果与分析。入侵行为是层出不穷的,几乎不可能定义完整的训练集,在入侵检测环境中,一旦一种攻击被识破,又会有新的攻击出现,故入侵检测系统必须具有很强的适应性、自学习性和鲁棒性,这就需要增量式的学习新的知识。