随着基于网络的计算服务和应用的迅速发展,互联网面临越来越多的安全威胁,因此入侵检测系统作为网络安全深层防御的重要组成部分显得尤为重要。入侵检测系统通过检测和分析网络流量或主机行为,发现和识别系统中的入侵行为。为了检测大规模数据流量下的异常行为,基于机器学习的入侵检测系统成为目前研究的热点,此类方法通过机器学习技术在大量的数据中提取特征,并针对已标记的数据集建立分类模型,实现对网络流量或者主机行为的分类,从而检测系统中的入侵行为。通过对研究现状的分析和研究,本文发现并总结了目前入侵检测领域研究仍然存在的两个问题,并针对性的分别提出了两种基于集成学习的入侵检测方案。因此本文的主要研究工作包括:(1)发现目前的研究仍然存在两个问题。1)现有的集成学习方案没有考虑检测模型对攻击类型差异化的敏感性,导致了检测模型的准确率较低,同时现有集成学习模型的更新方式没有考虑数据知识的积累与传递,导致模型稳定性较差;2)现有入侵检测方案均基于具有充足标记或未标记训练数据集的假设,而这种假设在面对新的网络环境时难以成立。(2)针对目前集成学习存在的缺陷,设计了基于可持续性集成学习的入侵检测方案。在模型建立阶段,将各个体学习器对各个类别的分类置信度和类概率进行加权,并建立各个类别的回归模型对个体学习器的决策权重进行自动分配,在模型更新阶段,通过将历史模型的参数传递给新模型,作为预训练,并将历史模型的检测结果加入新模型的训练过程,完成了在检测模型更新过程知识的积累与传递。实验部分从方案的检测性能、稳定性和持续性等方面验证所提方案较现有方案具有准确率高、误警率漏报率低及检测模型更新后更稳定等优点。(3)针对新网络环境下因缺乏训练数据而导致的难以构建入侵检测模型的问题,我们借鉴迁移学习方法,提出了一种基于集成迁移学习的入侵检测模型。首先分别提出仅使用少量标记数据和仅使用少量未标记数据建立模型的两种场景,并针对两种场景分别设计了基于迁移学习和改进的迁移学习的检测模型建立方法。分析并验证了网络中含有不同攻击类型情况下流量特征的差异,并全面的对比了所提方案与传统方案的实验结果,验证了所提方案在仅使用少量数据的情况下,仍然能够有效的更新模型,同时具有较高的检测准确率。