无线传感网通常由具有有限资源的传感器节点组成,并运行在无人区域或恶劣环境中,这使它比传统网络更容易受到安全威胁。近年来,各种基于机器学习的入侵检测技术在无线传感网中虽然取得了不错的效果,但在面对各种层出不穷的新式攻击时,迫切需要提高自适应性和可扩展性。同时,正常样本和攻击样本的不平衡问题也会影响基于机器学习的入侵检测算法的性能。针对这些问题,本文研究样本不平衡条件下的基于增量学习的入侵检测算法。本文的主要研究工作如下:(1)针对无线传感网入侵检测中正常样本与攻击样本不平衡的问题,提出基于生成对抗网络的样本平衡方法SBMGAN。该方法利用生成对抗网络能够学习攻击样本原始数据分布的特点,对攻击样本集进行扩充使正常样本和攻击样本数目达到相对平衡,提升机器学习入侵检测算法对攻击行为的检测能力。在经典入侵检测数据集KDD CUP99上进行实验,利用卷积神经网络验证该方法的效果,实验结果表明,样本平衡后F-Measure值提升了0.11%~9.04%,较k-means SMOTE平衡方法提高了0.06%~4.56%。(2)针对无线传感网中现有机器学习入侵检测算法自适应性和可扩展性不足的问题,引入增量学习算法,并将其与基于生成对抗网络的样本平衡方法结合,提出样本不平衡条件下基于增量学习的入侵检测算法IDILID。本文采用层次式入侵检测模型,算法部署在汇聚节点上,首先通过在线的增量式学习及时、有效地识别新攻击类型,若对新攻击类型的检测能力较低,则利用SBMGAN方法对新攻击类型数据进行扩充,使其与已有类型达到相对平衡,并重新进行增量训练,以提升入侵检测算法的检测性能,该算法在增量训练过程只使用了新数据和少量旧数据,同时使用知识蒸馏法保留原有知识。在KDD CUP99上进行实验验证,结果表明,与只使用新数据的增量学习算法相比,IDILID能够在只增加少量内存消耗的同时较大地提升检测性能;与平衡前的增量学习算法相比,IDILID能够在增加少量训练时间的同时提升检测性能;与重新训练的算法相比,IDILID在保持高检测率、低误报率的同时,能够有效降低训练时间,适合于在线检测应用。综上所述,本文提出了样本不平衡条件下基于增量学习的无线传感网入侵检测算法,解决了无线传感网中现有机器学习入侵检测算法自适应性和可扩展性不足问题,以及样本不平衡导致的机器学习入侵检测算法对攻击行为检测能力不足的问题。