入侵检测系统是网络安全防护的一个重要环节,其性能的好坏直接关系着网络的正常运行。随着互联网技术的不断发展,网络拓补结构越来越复杂,随之产生的入侵数据特征也愈加复杂,网络环境更加复杂多变,给入侵检测系统带来了巨大的挑战。因此,研究高效处理海量的入侵数据,适应复杂多变的网络环境的入侵检测方法至关重要。深度学习理论的提出弥补了传统入侵检测方法在高维特征处理上的不足,其强大的特征学习能力比传统的方法更适合处理海量多源异构的入侵数据。现有的深度学习入侵检测方法仍然存在对小样本攻击类别识别率低,训练效率低以及无法根据实时网络环境进行在线更新参数的缺陷。本文从这三个问题出发,展开了以下研究:(1)首先使用核极限学习机KELM改进DBN的BP分类器,提出基于DBN-KELM的混合深度学习入侵检测方法。该方法将DBN作为特征提取器,将KELM作为分类器,结合了DBN提取抽象特征和KELM快速学习且分类性能好的优势。实验中使用NSL-KDD部分数据集进行了验证,将DBN-KELM算法与DBN和DBN-ELM进行了对比,使用分类准确率、精确度、召回率、F分数和误报率5个指标进行了全面评价,结果表明,DBN-KELM算法具有更好的检测性能。(2)针对DBN-KELM在训练数据分布不平衡时引起KELM在分类时偏向于训练数据中含量较多的攻击样本类别,对小样本攻击类别的检测率不高的问题,使用样本加权后的极限学习机WKELM对DBN-KELM算法进行改进,提出了基于DBN-WKELM的混合深度学习入侵检测方法。训练过程中对每一条训练样本进行了加权,解决了KELM分类时偏向于出现频率高的样本的缺陷。实验中在前5个评价指标的基础上引入Gmean评价检测的平衡度。实验结果表明,DBN-WKELM在尽可能低的牺牲大样本攻击类别检测率的情况下获得了小样本类别检测率的提高,在6个指标下均显现出了优势。(3)针对网络环境的复杂多变,DBN-WKELM入侵检测方法无法根据实时的网络数据更新权重参数的缺陷,使用WOS-KELM分类器进行了改进,提出了DBN-WOS-KELM的入侵检测方法,该方法能够根据新的训练数据更新分类器输出权重,已参与训练过的历史数据无需再次参与训练,随着训练批次增加,检测效果越来越好。实验结果表明,在同样大小的训练数据下,DBN-WOS-KELM的训练效率更高。