高速发展的网络在带给人们便利的同时,其自身的脆弱性也为黑客和恶意攻击者提供了入侵的机会,而其攻击手段的日益复杂化和多样化也对网络空间安全提出了更高的要求。在这其中,网络流量作为网络攻击的直接载体,包含了大量的网络行为特征,为威胁情报分析、入侵检测等系统的设计提供了数据支持。本文旨在网络流量分析基础上,基于深度学习等机器学习算法,改进现有的入侵检测方法:一方面从采样的角度改进其反馈机制,以降低计算负担和增加熵值敏感度;另一方面从流量特征的角度改进其现有流量特征集构建模式,在此基础上降低其获取时间,同时增加伪装协议下和其小样本条件下的检测精确度。首先,以流(flow)为流量处理的基本单位,改进了传统高计算负担的“采样-反馈”机制。通过分析流的聚类性、可切分性,提出了一种高速流量入侵检测的反馈机制,将集中式反馈改进为分散式反馈,在优化计算资源的同时,使反馈节点更加契合流量规律,从而减少系统中待检测的流量规模、降低了整体计算负担,提高了系统对发生攻击时的流量熵值敏感度。其次,从端口会话的角度,提出了一种新的流量特征表示方法“端口互动模式在链路层的映射”,以替代现有的流量特征集。在定义了新特征的量化表达方法基础上,将会话看作时间序列,并使用自相关图分析长、短会话的一致性。重点使用相空间重构将四维时序特征转化为高维特征,同时基于交互信息法和虚假最临近法,分别确定相空间重构的延迟时间和嵌入维度,最后通过高维特征的可视化验证了所提出的特征表示方法有效性。第三,基于所提出的改进特征集,设计了一种多模型深度网络综合评估机制对会话进行分类,以实现入侵检测的效果,并通过三组对比实验验证提出方法的有效性。该评估机制基于一维卷积神经网络和长短时记忆神经网络,将会话映射在三维模型空间中,并最终由预训练的支持向量机完成异常流量分类。实验数据显示出所提出方法能够在降低现有方法的特征获取时间的同时,有效提高数据伪装情况下和小样本情况下的检测精确度。