Los dispositivos y servicios del Internet de las Cosas (IoT) ofrecen conveniencia, pero enfrentan serias amenazas de seguridad. El sistema de detección de intrusiones en la red es vital para garantizar la seguridad del entorno IoT. En el entorno IoT, proponemos un novedoso modelo de detección de intrusiones en dos etapas que combina aprendizaje automático y aprendizaje profundo para abordar el desbalance de clases de los datos de tráfico de red y lograr una detección de intrusiones de alta precisión en datos de flujo a gran escala. La superioridad del modelo se verifica en el conjunto de datos más nuevo y grande CSE-CIC-IDS2018. En la Etapa 1, el algoritmo LightGBM reconoce datos de tráfico de red normales y anormales y compara seis técnicas clásicas de aprendizaje automático. En la Etapa 2, la Red Neuronal Convolucional (CNN) realiza una detección de clases de ataque de alta precisión en las muestras que se predicen como anormales en la Etapa 1. La clasificación multiclase de la Etapa 2 logra una tasa de detección del 99.896%, un F1score del 99.862% y un MCC del 95.922%. El tiempo total de entrenamiento del modelo de dos etapas es de 74.876 s. El tiempo de detección de una muestra es de 0.0172 milisegundos. Además, configuramos una Técnica de Sobremuestreo de Minorías Sintéticas opcional basada en la relación de desbalance (IR-SMOTE) del conjunto de datos en la Etapa 2. Los resultados experimentales muestran que, en comparación con la tecnología SMOTE, el modelo de detección de intrusiones en dos etapas puede adaptarse bien a conjuntos de datos desbalanceados y revela una mayor eficiencia y mejor rendimiento al procesar datos de flujo a gran escala, superando a los sistemas de detección de intrusiones de última generación.