随着网络技术的飞速发展以及广泛应用，网络安全成了越来越重要的问题。如何能快速、准确、有效地识别已有的攻击和日益增多的新的攻击就是入侵检测系统所面临的迫切问题。相对于传统的入侵检测技术来说，模式识别技术为基于机器学习的入侵检测技术注入了新的活力，模式识别技术的泛化能力，使入侵检测系统能检测到新的或未知的攻击；而分类器的分类能力提高了入侵的检测率。支持向量机(SupportVector Machine，简称SVM)建立在统计学习理论的VC维理论和结构风险最小化原理基础之上，避免了局部最优解，并巧妙地克服了“维数灾难”，在解决小样本、高维输入空间的入侵检测分类问题中表现出许多特有的优势。同时网络协议分析提高了入侵检测的速度和检测率。基于上述几个方面，本文提出了基于协议分析和特征分析的SVM多分类器组合的入侵检测模型。为了构造一个更加适合因特网实际应用环境的入侵检测系统分类器，本文对以下几个问题进行了研究：1．分类器的选择在研究初期，SVM在入侵检测系统中的应用刚有人提出，因此本文做了一些实验，通过和常用的神经网络分类器的性能对比，验证了将SVM应用于入侵检测的可行性。2．特征选择对于SVM而言，特征选择后可以较大地提高其识别速度，而速度对入侵检测系统走向实用有着重要的现实意义。因而，在保证分类器的泛化能力的前提下，我们期望用最少的特征构造分类器，这就是的特征选择。本文利用特征选择的方法，简化了SVM分类器，并构造了更加具有针对性的子分类器。3．多分类器融合策略本文中，利用网络连接的不同特征空间建立分类器，由于特征空间的含义和作用不同，因而我们采用基于模糊积分的多分类器组合方法，提出了当样本分布不均匀时模糊密度的计算方法，并给出了对比实验结果。4．协议分析在入侵检测中的应用研究本文中，将协议分析的方法用于入侵检测，显著地提高识别效率，给出的实验结果证明了这一点。5．增量学习方法在入侵检测中的应用研究现实中，入侵行为是层出不穷的，几乎不可能定义完整的训练集，在入侵检测环境中，一旦一种攻击被识破，又会有新的攻击出现，故入侵检测系统必须具有很强的适应性、自学习性和鲁棒性，这就需要增量式的学习新的知识。本文将增量学习的方法应用于SVM入侵检测分类器的构造，实验结果表明，增量学习方法的应用使新构造的入侵检测系统它的学习精度可以随着其不断应用过程中样本集的积累而逐步提高。