网络的高速发展在给人们的生活和通信带来极大便利的同时,也产生了日益严重的安全问题。入侵检测技术是网络安全领域的一个重要研究方向。数据流的入侵检测过程实际上是对数据流的挖掘处理过程,在入侵检测中一般认为正常行为模式的数据量远远大于入侵行为模式的数据量,采用聚类的思想将数据流中正常行为模式的数据分配给类簇,而入侵行为模式的数据与该类簇的相似性很低。网络数据流的海量、高速等特点,对入侵检测的扩展性、准确性、实时性等方面提出了更高的要求。传统的静态聚类算法在处理数据流时容易因为忽略数据的动态变化性而造成较大的误差,这就要求对数据流的处理具有灵活性、实时性的特点,且模型能够及时动态调整以适应数据流的变化。基于上述分析,本文主要针对基于增量聚类的数据流入侵检测算法进行研究,具体研究内容包括:1.网络数据流通常具有高维、无限性的特点。针对用流形学习对数据流进行降维特征选择时重复更新协方差矩阵造成的时间复杂度高和降维误差的问题,本文提出了基于增量流形的数据流入侵特征选择方法。该方法通过局部主成分分析得到样本点的特征向量,构造增量形式的内积矩阵,代替协方差矩阵的重复计算过程。为了降低降维误差,引入优化函数来获得最优低维映射坐标。实验证明本算法能够降低计算的复杂度,并能够较好地保留数据原本的结构信息。2.分层聚类在数据流处理方面具有良好的扩展性。针对分层聚类算法在处理数据流时的高时间复杂度问题,本文提出了基于分层增量聚类的数据流入侵检测算法。算法用伪F值衡量类簇之间的相似性,并加入了离群值的判定策略和吸收过程,以减少直接删除离群值对聚类结果的影响。算法对新增样本数据点的更新处理是针对局部簇进行的,降低复杂度的同时达到增量聚类的目的。实验结果证明提出的算法在保证聚类准确率的情况下时间复杂度较低,在入侵检测中的性能表现良好。3.为了提高数据流入侵检测中不精确值的检测率,本文提出了基于模糊密度增量聚类的数据流入侵检测算法。算法中定义了模糊微簇的概念,并根据隶属度值判断样本点是否包含在簇内,或是在模糊边界上。模糊微簇的权重和质心依据隶属度值进行更新。实验证明本算法的聚类准确率较高,应用到入侵检测中的性能较好。