网络技术的不断发展、网络知识的不断普及，使得我们的生活发生了根本性的变革，社会生活的各个方面都受到了极大的影响，网络系统已成为现代生活中不可或缺的组成元素。但与此同时病毒、木马、黑客攻击、网上经济犯罪、垃圾电子邮件等各种网络安全威胁也伴随产生，而且趋于实施的隐蔽化、技术的复杂化、危害程度的严重化等。这对网络安全机制是一个严峻的考验。入侵检测系统对网络或系统活动可以进行主动监控，是一种非常高效的网络安全技术。当前攻击技术飞速发展的势态要求入侵检测系统对未知攻击仍具有良好的检测能力，同时当对未知攻击已获取了足够的知识，就应及时更新现有的分类模型。目前实现分类模型更新的办法是把未知攻击的实例加入到原有数据集中一同作为训练数据，重新训练出新分类模型。尽管这种解决方法可以实现分类模型的更新但并不合理。因为原有的分类模型仍具有使用价值却被摒弃了。为了解决传统方案中的不合理性，实现原有分类模型的使用价值，本文采用复合模型来实现更新。首先快速产生一个轻量级的简单分类模型以检测新出现的攻击，原有分类模型依旧可用。检测攻击时先使用原有分类模型，若检测为未知攻击，就交由简单分类模型进一步检测。实现该复合模型的关键点是如何让原有分类模型识别出未知新攻击，即找出已知攻击与未知新攻击之间的界限。这是本文研究的重点所在。本文提出并实现了稀疏拓展ArtiAnomalyG算法。首先使用该算法对训练数据集进行稀疏拓展，拓展出的新实例冠以类标“anomaly”。选用AdaCost算法对拓展后的新数据集进行分类学习，得到的分类模型就可以找出已知攻击与未知攻击之间的界限。本文主要做了以下几方面的工作：1．分析了AdaCost算法原理，并选用JBuilder9．0作为开发环境实现了该算法。将AdaCost算法的类文件移植到了weka系统中。2．提出了稀疏拓展ArtiAnomalyG算法，对其原理方法及流程过程都做了详细描述。在JBuiIder9．0平台上加以实现，并将其的类文件放置在weka系统子包中。3．分析了稀疏拓展ArtiAnomalyG算法可能引发的弊端——数据冲突。设计实验对拓展后的数据进行过滤，有微小的冲突发生。分别使用过滤前和过滤后的数据进行模型训练，结果表明尽管分类模型的检测精度有变化，但仍在可接受的范围内。4．设计实验对稀疏拓展ArtiAnomalyG算法进行验证，实验结果表明尽管对数据集进行稀疏拓展消耗了时间资源，但分类模型可以有效地检测出异常攻击，这与漏检异常攻击造成的损失相比是非常值得的。总之，稀疏拓展ArtiAnomalyG算法对训练数据集进行稀疏拓展扩大了数据集，使得产生出的分类模型可以检测到未知攻击，拓展了分类模型的检测能力。