本发明提供了一种基于D‑S证据理论的混合入侵检测方法和系统，包括：步骤1：以网络流量pcap文件为输入，使用开源流量特征提取工具提取网络流量特征，并记录每一个网络流量的五元组信息和时间戳；步骤2：从网络流量pcap文件中找出每个网络流量相应的报文并进行提取；步骤3：使用基于报文的IDS算法进行检测，得到报文检测结果；步骤4：使用基于流的IDS算法进行检测，得到流检测结果；步骤5：使用D‑S证据融合算法，得到最终检测结果。本发明的基于流和报文的IDS算法具有可替换性，D‑S证据推理算法可适用于多个安全告警来源的情景，拥有灵活的部署方式和良好的可扩展性。