入侵检测作为一种主动防御的网络安全技术,能有效的检测出多种类型的攻击,已成为网络安全必不可少的部分。尽管在网络入侵检测问题中已经提出了许多基于机器学习的算法,但它们或多或少存在一些问题如检测率较低、泛化性能较弱、误报率高,仍需进一步的改进。集成分类器不仅可以提高学习系统的分类精度,而且可以利用各个分类器的不同偏差显著提高泛化能力。本文先后提出了基于分类器集成的双层入侵检测模型(TLMCE)和多层纠错分类器集成的协同入侵检测模型(ML-SCEM),旨在提高系统的检测率和泛化能力,使其具有更好的鲁棒性和灵活性,对各种攻击类型实现有效的检测。另外,由于入侵检测系统(IDS)处理大量的网络数据,这些数据通常包含冗余数据和不相关的特征,因此必须进行数据预处理。本文提出了一种前后向混合特征选择方法(FBC),以减少训练时间并进一步提高模型性能。课题研究的主要内容包括:提出了一种前后向混合特征选择方法(FBC),以消除冗余和不相关的特征。该方法适用于多分类器组成的系统,包括序列前向选择组件和序列后向选择组件两部分。在第一阶段,开发了一种改进的前向特征选择方法用于构建前向选择组件,为各个分类器选择最合适的特征子集,选择结果将在第二阶段进行融合。在第二阶段,合并第一阶段各个分类器选择的特征子集得到并集,再使用改进的后向特征选择方法对该特征集进行二次筛选,产生最终特征子集。提出了一种基于分类器集成的双层入侵检测模型(TLMCE)。在第一层中使用JRip分类器对R2L和U2R进行分类,在第二层中使用集成分类器对Normal,Do S和Probe进行分类。第二层中,J48,JRip,Random Forest,Bayes Net和Simple Cart被用作基分类器,使用优化后的Stacking策略对决策结果进行融合。针对TLMCE模型在灵活性和泛化能力方面的不足,进一步提出了一种多层纠错分类器集成的协同入侵检测模型(ML-SCEM),以获得更好的泛化能力和鲁棒性。该模型由5个连续层组成的多层结构构成,其每一层分类等价于一个二分类。在每一层中,使用我们提出的基于纠错能力的选择性分类器集成方法(SCEM)从M个预选的基分类器中选择主分类器和纠错组件,以生成最适合该层类别的集成分类器。采用KDD Cup 99的修改版本即NSL-KDD数据集对提出的模型进行实验,实验结果表明,本文提出的模型实现了高检测率和低误报率,并且增强了泛化性能,大大的优于传统的集成模型,比现有大部分其他集成入侵检测模型都更有效。