在海量的、动态变化的网络数据流中如何检测出异常,是网络安全领域主要关心的问题,同时也是检测网络攻击的主要手段,现在越来越受到学者的关注。在网络数据流方面一般认为正常的行为占大多数,而异常的行为属于个别行为。基于此假设,选择k-means算法对数据流进行聚类分析,最终不属于任何子簇的数据点最有可能是异常点。k-means算法的执行过程是首先确定k个初始聚类中心点,将新到来的数据对象点根据距离阀值与距离最近的子簇合并,最终完成具有k个子簇的聚类结果。本文针对k-means算法存在的缺点和不足,例如,对输入数据对象点输入顺序敏感、容易陷入局部最优而非全局最优等问题。从两个方面对原有算法进行改进:首先根据有效性函数最小性原理,确定接近于真实聚类数的k值,然后通过执行聚类中心选择算法,选取处于高密度区域的若干点,将点集周围数据点数量作为权值赋予该点,对选取的若干点集合构建最小堆,然后进行堆排序,权值作为堆节点的值,一次扫描确定密度最高的k个数据点作为初始聚类中心。改进后的k-means算法可以使准则函数收敛的更快,由于使用堆排序而非距离迭代计算选取聚类中心,时间复杂度相对较低,从而使算法在执行的时间效率上得到提高,又由于初始聚类中心点选择的接近于真实聚类中心,在聚类过程中不容易将大簇分割,从而使聚类结果更准确。最后选取UCI数据库中的数据集和KDD99数据集,对改进后算法和原算法进行聚类分析。实验结果表明,改进后的算法提高了聚类结果的准确性,同时算法的执行效率也有一定程度的提高。