传统的基于神经网络的入侵检测系统采用前馈神经网络对网络数据包的头部信息进行分析,可以有效检测网络数据包内部的异常行为,但是未考虑网络数据包在时间维度上的动态序列统计特性、未分析网络数据包正文信息,因此,难以发现网络数据包序列之间的异常,缺乏对应用程序层的网络异常检测能力。另一方面,现有基于主机系统日志的入侵检测,在训练阶段受限于噪音数据带来的负面影响,存在高误警率的缺陷。基于机器学习的入侵检测系统采用基于Elman神经网络的入侵检测与基于鲁棒SVM近邻分类的入侵检测两种方式解决上述问题。基于Elman神经网络的入侵检测运用聚类算法对网络数据包正文进行聚类,克服了遗漏网络数据包正文信息的缺陷。同时,利用Elman神经网络的再发生机制来记忆网络数据包的动态序列统计特性,提高了对网络数据包序列之间异常行为的检测能力。另一方面,基于鲁棒SVM近邻分类的入侵检测采用鲁棒SVM的最优分类面对主机系统日志的特征空间进行加权,实现可变尺度的近邻分类,从而消除噪音数据带来的负面影响,降低入侵检测的误警率。同时,对主机系统日志的特征空间进行加权可以消除近邻分类算法中的维数灾难,提高检测的准确率。基于Linux操作系统采用C和C++语言实现了基于机器学习的入侵检测系统,并对林肯实验室的DARPA测试数据在网络级和主机级两个层次进行了测试。测试表明:在误警率为0的要求下,基于Elman神经网络的入侵检测可以达到92.7%的检测率;在误警率为2.3%时,检测率为96.2%。在误警率为0的要求下,基于鲁棒SVM近邻分类的入侵检测可以达到87.3%的检测率;在误警率为2.8%时,检测率为100%。