随着互联网技术及应用的不断发展,网络已经在商业、经济、军事等各个领域都发挥着巨大作用,而成为人类社会发展不可缺少的部分。然而,网络在带给人们便利的同时,网络安全问题也日益严峻,特别是近年来网络数据的井喷式增长和变化多端的攻击方式,给网络安全防护带来了巨大的挑战。入侵检测作为网络安全主动防护的技术手段,可及时发现网络中的攻击行为。但网络规模的扩大、新的攻击手段和安全漏洞层出不穷,已经使传统的入侵检测技术难以满足人们对于网络安全防护的需求。强化学习作为机器学习的一个分支,通过不断试错的过程,可就某个具体的问题得到一个最优的策略（即当前状态下采取的最佳行为）。基于此,本文在对现有入侵检测技术的分析和研究基础上,将强化学习和大数据技术相结合开展研究。本文的主要研究工作如下:（1）提出一种基于强化学习的入侵检测模型。针对传统入侵检测系统存在的误报率过高、检测率和检测效率低等问题,在该模型中引入模糊层次分析法对每个用户进行信用度评估,从而完成信用度体系和信用度表的构建,用户信用度是用户可靠性的衡量指标。在入侵检测过程中,入侵检测引擎会与环境进行交互,因此,在入侵检测系统内根据马尔科夫的基本要素建立入侵检测的马尔科夫决策过程,而在马尔科夫决策过程的求解中,采用离轨策略Q-Learning算法进行求解,其核心思想是根据Q值来选取能够获得较大收益的动作的最优解。为了验证该模型的有效性,通过在KDD99数据集进行实验分析并与传统入侵检测方法进行对比,实验结果表明,该模型能够提高入侵检测率和检测效率,降低系统误报率。入侵检测的准确率与训练集大小具有正相关性,且该模型具有较好的协议无关性检测能力,具体表现为对分布不平衡的数据集的处理优势。（2）针对提出的基于强化学习的入侵检测模型,采用主流的大数据技术设计并实现了入侵检测系统。系统架构可分为六个模块,分别是数据采集模块、消息引擎模块、实时计算模块、响应模块、离线计算模块以及数据展示模块。系统通过对需要监控或保护的网络、系统或应用进行访问流量信息、日志信息（如访问日志、用户日志、系统日志）进行采集,这些数据的采集通过Flume子系统进行实时采集,在进入Kafka消息队列后可将采集到的数据传输到HDFS用于离线计算,或直接将数据传送到Flink实时计算模块。本文采用离线计算和在线计算两种方式,其中离线计算的任务是采用Hive数据仓库对日志数据进行建模统计分析。在线计算是强化学习的计算环境,通过事先训练好的入侵检测的强化学习模型置于Flink计算引擎中,对采集的流量数据进行实时的分析,并将结果通过响应模块进行响应。数据展示模块实现了对各模块功能的可视化,数据展示有利于整体把握系统的运行状态、感知网络态势,且有利于分析和运维。