入侵检测系统是安全体系结构中的重要环节，是对入侵进行预防、检测与响应的基础。近年来，随着网络数据流量不断增大，传统的基于人工建模的入侵检测技术已经越来越无法适应新的网络环境。为了解决从海量数据中提取有用信息的问题，基于数据挖掘的入侵检测技术得到了研究人员的关注。然而，随着研究的不断深入，基于数据挖掘的异常入侵检测研究逐渐暴露出一些问题和困难，如误报率与漏报率过高导致检测结果的准确性不高，检测结果难以理解，时变的网络数据行为模式使得建立正常的网络行为轮廓更加困难等。本文主要从提高入侵检测精度与可理解性的角度出发，围绕基于数据挖掘的入侵检测研究中存在的特征选择、小样本学习、可扩展性与概念漂移以及可视化等问题展开深入研究。本文的主要研究内容和贡献有： (1)攻击特征优化选择。针对入侵检测中存在的特征选择问题，采用改进的多目标遗传算法来为不同类型的攻击选择相应的最优特征子集，有效地提高了所生成的检测模型的检测精度，并在此基础上提出了一种基于改进的多目标遗传算法的入侵检测集成方法，选择具有较高分类精度与多样性的基分类器构建集成入侵检测模型，不但实现了检测率与误报率的均衡优化，而且使得算法能够在所有的攻击类型上获得平衡的检测性能。 (2)基于小样本先验知识的训练集扩展方法。针对网络环境中存在的获取标记实例困难的问题，提出了一种基于小样本标记实例的异常入侵检测算法，利用半监督聚类方法对小样本标记实例进行扩展，有效地解决了有监督入侵检测算法中训练样本不足的问题，提高了入侵检测算法的检测精度，其检测精度明显优于非监督的异常入侵检测算法。同时，算法所具有的较强的处理小样本标记实例问题的能力，使其更具实用性。 (3)动态自适应检测模型研究。持续不断地到达的网络数据要求检测模型具有良好的扩展性，同时，时变的网络行为模式则要求检测模型要能够适应网络行为模式的改变。针对这一问题，提出了一种基于集成学习的数据流异常入侵检测模型，以数据流模型的形式描述网络数据，将持续到达的网络数据流按照时序划分为不同的数据块，并针对各数据块分别生成相应的检测模型。同时，采用选择性集成方法，从所有的基分类器中选择适当的分类器组成集成入侵检测模型，不但有效地解决了入侵检测算法的扩展性问题，而且充分利用了最能反映当前网络行为模式的基分类器，提高了入侵检测的精度和效率，其检测结果明显好于基于所有历史数据进行等同学习的入侵检测算法。 (4)入侵检测可视方法研究。针对由于网络数据复杂性导致的网络数据结构以及入侵检测的过程与结果难以被用户理解的问题，提出了一种基于可视化聚类的异常入侵检测框架，通过基于密度的聚类方法将网络数据划分成不同的簇，在考虑核心对象对其邻域对象的影响的基础上，令簇中的对象向其相应的核心对象“收缩”，使簇的构成更加紧密，簇间的距离更大。最后将“收缩”后的原始空间中的网络数据点映射到二维可视空间中，将网络数据结构直观地呈现给用户，使用户能够从中发现有价值的可视信息。同时，用户还可以根据攻击数据与正常数据在二维空间中分属于不同位置的特点，发现对网络的攻击行为，是对当前的异常入侵检测算法的有力补充。