随着计算机技术与网络技术的飞速发展,互联网已经走入千家万户,人们的工作方式与生活方式正在被互联网改变。由于网络中存在着各种有价值的个人信息以及商业机密等,因此大量不法分子开始了对网络的各种攻击行为并造成了难以估计的损失,由此信息安全概念逐渐深入人心。为了应对各种攻击方法,逐渐发展出了防火墙、访问控制、加密等静态安全技术。遭受攻击时静态安全技术只能被动且有限地保护信息安全,为了解决这个问题逐渐发展出了基于入侵检测的主动安全技术。入侵检测技术通过监控网络流量数据与系统审计数据来动态的发现攻击行为,相对于传统静态安全技术起到了很好的补充作用。入侵检测系统的关键步骤是构建行为轮廓特征库。聚类分析作为一种常用的数据分析与处理方法,适用于构建行为轮廓特征库。通过使用聚类分析方法能更好地发现数据的内部特征与联系,加强了入侵检测系统分析处理大量数据的能力,提高了检测精度。本文使用一种改进的k-means算法建立行为轮廓特征库,构建一种基于混合检测模型的入侵检测系统。本文提出的改进算法克服了传统k-means算法依赖输入k值、不能处理离散型特征以及易受噪声影响的缺陷,对于构建行为轮廓特征库有更好的适用性。本文使用基于密度的局部离群系数方法处理聚类结果,使用基于簇中心位置变化的方法进行入侵检测。最后使用KDD Cup 99数据集构建行为轮廓特征库,对改进的k-means算法聚类能力以及基于混合检测模型入侵检测系统的可用性进行了验证,证明了基于k-means的入侵检测方法的有效性。