近年来,恶意入侵早已成为网络安全的一大威胁,非法入侵现象逐年增加,导致巨大的经济损失。传统的网络防护技术已经无法应对形式多样的网络入侵,能够识别和阻止恶意网络流量的入侵检测系统(IDS,Introduction Detection System)成为了重要的安全对策之一。本文研究的Snort IDS对预防入侵起着至关重要的作用,能够有效的保护系统的安全。但是,Snort是一种基于误用检测的系统,依赖规则库进行模式匹配逐个判断,因此庞大复杂的入侵数据会导致Snort系统的检测速度慢、分类精度差和误报漏报等各种问题。针对上述问题,本文结合入侵检测技术开展研究,提出了基于核主成分分析(KPCA)和随机森林(RF)的入侵检测算法,有效的降低高维数据的复杂性,同时提高了入侵检测分类算法的准确度,增强了IDS的整体性能。本文的主要研究内容如下:(1)提出使用FKPCA算法处理KDD-CUP99数据集。为了兼顾局部性的学习能力和全局性的泛化能力,使用混合核函数的核主成分分析方法(FKPCA)对高维原始数据集进行特征提取,同时为了防止混合核函数中参数设置的盲目性,采用果蝇优化算法对参数进行全局优化。通过多组仿真实验,对特征提取后的数据集进行分类,证明FKPCA算法能有效降低入侵检测数据集的复杂性。(2)总结常用分类算法并分析其优缺点,通过仿真实验选取分类性能较好的随机森林算法(RF)作为研究重点。为了提高传统RF算法的分类性能,降低RF误报率,本文提出了加权随机森林算法(WRF)。WRF算法利用袋外样本数据集,改进传统随机森林的投票环节,为每棵决策树赋予不同权重,从而降低分类精度不高的决策树对整体分类结果的影响。将数据预处理算法FKPCA与分类算法WRF相结合构成FKPCA和WRF分类算法,通过大量仿真实验表明本文提出的算法有效提高了入侵检测模型的检测性能。(3)由于Snort系统具有高扩展性,因此在传统的Snort系统上添加了FKPCA和WRF算法,通过多组仿真对比实验证明了FKPCA和WRF算法可以有效提高入侵检测系统的检测率、降低误报率、减少检测时间。此外,根据功能需求设置一个测试能力验证物品,设计网络入侵检测功能结构,在Snort原系统的基础之上添加有关的配置功能,操作人员通过简单的命令行或者开关按钮来关闭或者开启某个功能,通过外部机构对本系统的检测结果与之前配置的功能相比较,从而检测出该机构是否具备评价入侵检测系统的能力。