网络与信息技术的迅速发展推动了社会前进的步伐,给人们生活带来了更多的方便,但同时网络攻击事件也层出不穷,网络安全逐渐成为当前的研究热点。入侵检测则提供了重要的防护手段,有效保护了网络安全。当前入侵检测研究大多基于机器学习的方法,然而在实际应用中还存在一些问题,比如带有标注的异常网络流量数据难以获取,实网数据属性特征提取困难,无监督学习训练模型存在过拟合,基于规则的方法无法检测新的网络攻击等。因此,在真实的网络环境中,进一步开展基于机器学习的入侵检测技术研究具有重要的理论和实践意义。本文针对当前入侵检测技术在实际网络安全应用中存在的问题以及中科院高能所实际的网络安全需求,以实网采集的安全外壳协议（Secure Shell,SSH）日志为研究对象,以准确识别正常和异常用户为研究目标,首先提出一种将单分类支持向量机（One-Class Support Vector Machines,OCSVM）与长短时记忆网络（Long Short Term Memory,LSTM）自编码器（Auto Encoder,AE）结合的入侵检测算法。然后,并在此基础上,以提高检测率为目标,研究开发了一个基于LSTMAE的入侵检测系统。本文主要工作如下:1.针对实网数据属性特征提取困难和现有无监督模型中大多存在的过拟合问题,本文设计了一个基于LSTMAE的入侵检测算法。首先设计一种时段统计值特征构建方法构建特征,如通过统计一个IP在一个时间窗口内的登录成功失败次数和登录时长等内容构建基于登陆行为的连接相关特征,通过统计传输字节,丢包的方差构建基于传输行为的内容相关特征等,然后通过计算皮尔逊相关系数进行特征相关性分析完成特征选择,接着利用OCSVM过滤部分异常数据以减少过拟合,最后训练OCSVM+LSTMAE模型。在SSH数据集上,经过OCSVM过滤后训练的AE和LSTM AE的检测率则有大幅提高,分别由77.40%和75.18%上升至83.99%和87.54%,误报率也由1.73%和1.59%下降至1.01%和0.95%。2.针对中科院高能所必须时刻保障大量日志数据安全的网络安全需求,本文设计了一个满足高检测率和低误报率的入侵检测系统。在安全运维平台体系结构设计的基础之上,进行了详细的系统需求分析并规划了系统设计目标。首先,设计了系统架构和数据库,然后分别使用bro-cut和MySQL等技术和工具实现数据采集和存储,使用one-hot编码和Max-Min标准化方法完成数据预处理,使用本文提出的基于OCSVM+LSTM AE的入侵检测算法完成异常检测并进行异常管理,最后对实现的入侵检测系统进行了可视化展示。经过系统测试和评估,系统已经部署到中科院高能所实际网络环境中。实际运行效果表明:该系统能够稳定地以90%左右的检测率检测出暴力,异地登陆和弱口令等已知异常。本文通过数据采集,特征构建,算法设计等工作最终实现了一个入侵检测系统,并通过测试表明,系统能够稳定运行的检测出异常数据。