现阶段的入侵检测技术在现实使用时仍有很多的不足,比如存在较高的误报和漏报率、很低的检测效率和较低程度的智能化等问题。为了解决这些问题,研究者将研究的重点集中在合适的数据源和特征的选择、对现有的检测算法进行改进、研究新的较好的算法和改善整个入侵检测模型的框架等方面。目前的入侵检测模型大多在滥用检测技术(Misuse Detection)和异常检测技术(Anomaly Detection)的基础上发展而来。滥用检测较为简单,使用了特征检测的方法,有较高的检测准确性,但也存在着缺点,不能对某些经过伪装的恶意行为或未添加进特征库的恶意入侵进行准确判定,异常检测判断的标准是依据以往攻击行为的特征平均值,对何种程度的异常才是入侵行为需要去确定一个特定的阈值,阈值的高低比较难以确定,如果阈值设置的太低,会有大量的误报,使得误报率居高不下,而设定的较高时,会漏报一些入侵,无法起到应有的作用。本文试引入GHSOM和D-S证据理论相结合的方法,针对存在的问题,通过使用GHSOM神经网络可以无监督地依靠数据特征对故障进行正确聚类和识别,还可以进行分层和动态的增长,清晰的对数据内在层次进行分析和模块化解析,最终实现数据由模糊到清晰的聚类识别。同时注意到如果仅仅对每个数据单独地进行观测,很难判断该行为是否是恶意入侵,而如果将许多前后关联的数据进行统一考察,专家系统就能根据经验很好的判断出访问的合法性,该方法可以替代传统的检测方法。本文提出的DS-GHSOM检测方法首先可以用来解决处理采集的数据样本不确定与模糊性问题,对模糊数据进行聚类,其次在拓展子网层中加入证据融合理论,通过不断缩小假设集的方法,动态控制子网层的规模。实验表明该方法实现了对子网拓展规模动态的检测中控制,提升了在整个网络不断扩展时的动态适应性,在模糊数据集下的检测准确率达到了满意值,从而提升了GHSOM入侵检测方法的扩展性。