1.基于BIRCH和SMOTE的網絡入侵檢測方法，其特征在于，具體包括以下步驟：

S1、將網絡入侵歷史數據集中的符號屬性轉換為數字屬性；

S2、將網絡入侵歷史數據集歸一化至區間[0,1]；

S3、利用平衡采樣算法對網絡入侵歷史數據集進行采樣，得到每個類別平衡的訓練集，采樣過程包括：

對每個類別的網絡入侵歷史數據使用BIRCH聚類形成一個包含n_i個簇的集合，并設置每個類別重采樣的樣本數量r為各類的簇數量和最少的類的實例數量中的最大值；

若一個類別的樣本數量等于r，則直接將該r個樣本添加到平衡數據集D'中；

若一個類別的樣本數量小于r，則對該類數據使用SMOTE過采樣，使該類數據樣本數量為r，并將該r個數據添加到數據集D'中；

若一個類別的樣本數量大于r，則使用基于BIRCH的聚類采樣算法得到r個數據，并將該r個數據添加到數據集D'中；

其中，基于BIRCH的聚類采樣算法包括：

對輸入的數據集使用BIRCH算法得到k個簇，如果采樣的樣本數r小于簇中心數k，則對簇中心集合使用K-means聚類算法得到r個簇，并采集簇中心；

如果r等于k，則采集所有的簇中心；

如果r大于k，則首先采集簇中心，并進行多輪采樣，得到每輪采樣對各個簇采樣的樣本數，使得在各個簇中采集的樣本數量盡可能相近；

S4、利用獲得的訓練集訓練機器學習分類器；

S5、將實時的網絡入侵數據輸入訓練好的分類器，分類器輸出該實時的網絡入侵數據的類別。