伴随着计算机网络的出现,网络安全问题就成为网络安全管理人员面对的一个主要问题。传统的被动网络安全防御技术如防火墙、加密等静态技术在一定程度上起到了保护计算机系统的作用。如果单纯依靠这些技术,网络安全性难以得到保证。入侵检测技术作为一种主动防御技术,能够对网络中发生的安全事件和网络中存在的安全漏洞进行主动检测。但是传统的入侵检测系统由于只采用协议分析技术或者数据挖掘技术,使得系统要么只能检测已知攻击,要么检测效率低下。为解决上述问题,本文提出在入侵检测系统中同时使用协议分析技术和聚类技术。首先,本文提出一种IP重组算法,该算法简单、高效,能够快速实现对数据包的预处理。再根据数据包具有高度协议规则性的特点,利用协议分析技术对数据包进行过滤和关键字的提取,为聚类模块提供有效数据。其次,本文提出一种无监督的自适应性启发式聚类算法与k-means算法相结合的综合聚类算法,该算法能够根据数据之间的差异自动判断其所属的簇,和传统聚类算法相比,新算法能够避免由于人工参数选取偏颇导致聚类结果不合理的缺点。检测阶段,本文提出同时使用基于异常和误用的检测模式。最后,本文设计了一个入侵检测系统模型,实现了各模块的功能,并利用KDD1999数据集对系统进行了测试。实验表明,该系统具有较高的检测率和较低的误检率,达到了预期目标。