随着互联网技术的蓬勃发展,人们的生活越来越便利,但与此同时,网络安全问题也随之而来,严重影响着网络的应用及各类用户的安全,因而对网络安全技术进行研究至关重要。入侵检测技术是一种主动式的防护技术,通过实时监测、收集和分析网络流量包,并在系统受到危害前识别和拦截攻击行为,能够高效保护网络系统的安全。论文通过分析NSL-KDD数据集的数据分布并联系实际情况,将网络入侵检测简化为二分类问题,即正常行为和攻击行为（Normal和Attacks）。考虑到实际的生产生活中,入侵行为的发生率往往远低于正常行为,这就造成了数据失衡。在传统入侵检测系统中,通常以模型整体预测精度作为其性能的评价标准,但却忽略了入侵行为（即少数类样本）的检测精度仍然很低,不能有效识别和处理入侵行为。因此本文提出欠采样与过采样结合的SOMTE+Tomek Link复合采样方法,并将其应用于CatBoost模型中,旨在解决数据类不平衡问题。论文提出了基于SOMTE+Tomek Link的CatBoost网络入侵检测模型,该模型首先对数据进行预处理和PCA特征降维,然后将经过SOMTE+Tomek Link处理的数据输入到CatBoost模型中进行训练,实验证明该算法可以有效提高入侵行为的检测精度,样本整体正确率也有小范围的提升。本文的主要工作如下:（1）针对网络入侵数据类不平衡问题,本文提出了基于SOMTE+Tomek Link的CatBoost分类模型。分析当前入侵检测领域中,常用的分类模型性能和采样方法的优缺点,并强调不能仅依靠Accuracy评估分类模型的性能好坏,而应采用AUC、F1-score、G-mean等综合评价标准。（2）选取数据集和预处理。通过深入分析KDD Cup 99和NSL＿KDD数据集的优缺点,确定NSL＿KDD的第四个文件KDDTest-21.txt作为本文数据集。数据预处理主要包括删除全为0的列、字符型转为数值型、标签转为数值型和归一化四个步骤;然后经过主成分分析法,将预处理后的数据由42维降至28维,为进一步验证模型的有效性奠定基础。（3）基于KDDTest-21.txt数据集进行了两组实验,以验证本文所提分类模型的有效性。第一,分别使用XGBoost、Light GBM和CatBoost算法建模,通过对比入侵行为（少数类样本）的预测精度和模型整体预测精度,说明三种算法中效果最佳的分类模型为CatBoost;第二,将经三种采样方法处理后的数据输入到三种模型中,即将原始数据集、SMOTE、SOMTE+Tomek Link分别在XGBoost、Light GBM和CatBoost模型上进行实验,分析对比各种情况的评价指标,说明了SOMTE+Tomek Link方法能有效处理类不平衡数据且具有一定的普适性。