网络入侵检测技术研究一直是伴随着互联网不断普及而网络安全问题日益凸显的重要研究课题之一。提高入侵检测的实时性、准确率和识别率，降低误报率和漏报率是入侵检测技术研究的主要目标，但目前这方面的研究仍然存在着挑战或不足。　　文章提出了一种融合Kmeans聚类和KNN分类的入侵异常检测方法(Cluster-KNN算法)和一种基于多分类器集成的网络入侵类型识别方法（MCID算法），并且在这两个算法的基础上，设计和实现了一个入侵检测原型系统。　　Cluster-KNN算法是一种适应大训练集的入侵异常检测算法。算法首先将大训练集通过Kmeans算法进行数据划分聚簇索引，从而提高近邻搜索速度，在线实时分类时能够运用KNN算法快速地产生分类结果。经实验验证:Cluster-KNN算法能够适应大训练集的情况，使得懒惰型的分类算法KNN在线分类时具有更高的分类速度，确保分类的实时性，并且也能够充分利用隐含在聚簇中的关联信息，获得比标准KNN算法更好的效果。同时与其它同领域的算法相比在异常检测方面具有相当的优势。　　MCID算法是一种基于集成学习思想的多分类器集成入侵类型识别算法。算法首先运用等比例抽样和随机抽样产生不同的训练子集，采用若干有差异的分类算法进行训练，得到若干个基分类器;然后对训练得到的基分类器进行性能和差异性的评估，筛选出合格的基分类器组，最后通过带权的投票方式将基分类器组的分类结果组合成一个最终的分类结果。经实验验证:MCID算法提高了较大多数入侵类型的识别率，与基分类器相比具有较好的泛化能力，同时与其它同领域算法相比在入侵类型识别方面具有相当的优势。　　结合Cluster-KNN异常检测方法和MCID类型识别方法，论文设计和实现了一个网络入侵检测的原型系统。该系统是一个网络入侵检测网络服务模块，可以根据输入样本，输出是否异常，当输出异常警告时，还同时输出该异常的类型。同时还可以将该系统的各部分功能分布部署在不同的事务处理器中，从而提升入侵检测事务并发处理能力，加快入侵检测系统的效率。通过实例场景的模拟实验验证:该原型系统能够检测出网络入侵异常，并进一步识别该异常类型;而且该原型系统也能够满足网络入侵检测实时性的要求。