随着网络技术和规模的发展,网络安全问题也越来越突出。防火墙、病毒检测等传统的网络安全技术已难以胜任网络安全的需要。入侵检测系统作为一种“可适应网络安全模型”和“动态安全模型”逐渐成为研究的热点。为提高无监督异常检测系统的检测率、误报率和检测效率,本文在研究服务分类技术、聚类技术和特征检测技术的基础上,提出一种全部属性聚类和部分相关属性聚类(即特征聚类)相结合的无监督异常检测模型。采用服务划分,有助于建立更加精确的检测模型。结合特征聚类,有利于提高模型的数据处理速度。模型首先将数据集划分为不同的服务集,然后对每个服务集数据包进行全部属性聚类和特征属性聚类并比较训练结果,取其中训练性能较优的方法建立对该服务的检测模型。离线检测实验表明,本文模型的检测率达到99.22%,误报率降低到2.2%。与不加服务划分的模型相比,本文模型的训练时间和检测时间分别降低为相应模型的22.11%和21.87%。与其他检测算法的比较结果也表明,本文模型在检测率和误报率方面具有更优的性能。系统在实时网络环境下的检测实验表明,对训练模型中已出现的攻击,在线阶段和离线阶段的检测率保持在相同的水平。对训练模型中未出现的SynFlood拒绝服务攻击,其检测率达到98%以上,而对背景流量的误报率仅为5.34%,都表现出很好的检测效果。