伴随着计算机和互联网的快速发展,网络安全问题越来越重要。能够快速、有效地发现各类入侵行为的入侵检测系统成为当前的研究热点。入侵检测作为一种传统安全防护之后出现的新技术,它通过相关技术及时地检测出可能发生的入侵行为,从而大大提高目标系统的安全防护能力。现有的入侵检测系统大多存在检测时间较长,检测精度低,误报、漏报率高等不足。基于机器学习的入侵检测是网络安全领域研究的热点,它通过对带有入侵数据的大量训练样本的学习,构建一个用于区分正常状态和入侵状态的入侵检测模型。但目前仍然存在着许多有待解决的问题,如建立分类器模型所需要的训练样本过多、训练样本标注耗费大量时间且过分依赖于领域专业知识等问题。作为一种基于统计学理论的机器学习方法,支持向量机(Support Vector Machine,SVM)能够较好地解决小样本问题、非线性过学习问题以及高维数等实际问题。因此,在入侵检测中引入支持向量机,可以弥补传统入侵检测方法的不足,获得较好的检测性能。协议分析技术充分利用了网络协议的高度规则性来快速检测某个攻击特征的存在,大大降低了特征搜索所需的计算量,具备快速、精确和高效的特点,能够满足新的入侵检测的需要。根据入侵检测中协议分析技术与聚类支持向量机各自不同的检测特点,给出了一种新的入侵检测方法,即将协议分析技术和聚类支持向量机相结合。通过协议分析不但可以快速地检测出入侵行为,而且可以有效减少SVM的训练时间,同时结合聚类算法进一步减少SVM的训练时间和预测时间,从而提高聚类支持向量机的检测效率。本文给出了一个入侵检测系统模型,并利用KDDCUP99数据集对该系统模型进行了测试。结果表明了算法的可行性、有效性,并有效地提高了检测率,降低了误报率。因而,本文对于机器学习、入侵检测等领域的研究具有一定的参考价值。